IceWarp vydal novou kritickou bezpečnostní záplatu, která řeší problém, jenž by prostřednictvím funkce Registrace (Sign-up) mohl umožnit odhalení uživatelských přihlašovacích údajů v prostředí IceWarpu. Tato zranitelnost byla identifikována během našich pravidelných bezpečnostních auditů. Bezpečnostní záplata je nyní k dispozici.
Záplata ověřuje, zda se ve vašem systému nacházejí známky možného úniku dat, a pokud jsou detekovány, automaticky zneplatní všechna uživatelská hesla a vyžádá si jejich vytvoření při dalším přihlášení do WebClientu.
V případě, že záplata nezjistí žádné známky úniku, důrazně doporučujeme provést preventivní reset hesel všech uživatelů prostřednictvím WebClientu. Toto kritické preventivní opatření pomáhá minimalizovat riziko neoprávněného přístupu pomocí dříve kompromitovaných přihlašovacích údajů.
Administrátoři musí zajistit, že je povolena funkce expirace hesel. Tu lze nastavit v Administrační konzoli přechodem na Domény a účty → Zásady → Zásady hesel → Expirace hesel a zaškrtnutím pole Aktivní nebo povolením API vlastnosti c_accounts_policies_pass_expiration.
Důrazně doporučujeme aktualizovat vaši instanci IceWarp co nejdříve na následující verze:
IceWarp Epos Update 3: Aktualizace na verzi 14.3.0.7 nebo novější.
IceWarp Epos Update 2: Aktualizace na verzi 14.2.0.15 nebo novější.
IceWarp Epos Update 1: Aktualizace na verzi 14.1.0.21 nebo novější.
IceWarp Epos, Deep Castle a starší verze: Aktualizace na verzi 14.1.0.21 nebo novější.
Pokud máte jakýkoliv důvod pro downgrade vaší instance IceWarp, postupujte podle těchto instrukcí:
Pokud aktualizaci provádíte sami, nezapomeňte zálohovat celý server a aktualizovat verze postupně, jak je popsáno v našich článcích:
Pokud si nejste jisti instalací svépomocí, náš tým podpory vám pomůže projít celým procesem nebo instalaci provede za vás. Neváhejte nás kontaktovat na adrese vulnerability@icewarp.com.
ODKAZY KE STAŽENÍ
EPOS Update 3 (14.3.0.7) pro RHEL9, RHEL8 a Windows + administrační konzole
EPOS Update 2 (14.2.0.15) pro RHEL9, RHEL8 a Windows + administrační konzole
EPOS Update 1 (14.1.0.21) pro RHEL9, RHEL8, RHEL7 a Windows + administrační konzole
EPOS, Deep Castle a starší verze – aktualizujte co nejdříve na jednu z výše uvedených opravených verzí. Jako okamžité opatření prosím spusťte přiložený skript a ujistěte se, že funkce Registrace (Sign-up) není povolena na vaší Windows nebo Linux instanci.
ČASTO KLADENÉ OTÁZKY (FAQ)
-
Co se stalo?
V rámci našeho pravidelného penetračního testování jsme obdrželi zprávu upozorňující na vysoce závažnou zranitelnost. Funkce registrace (Sign-up) v IceWarpu mohla potenciálně umožnit útočníkovi získat přístup k uživatelským přihlašovacím údajům. -
Kdo byl zasažen?
Zranitelnost se mohla týkat jak Cloudových, tak On-Premises instancí. Oprava již byla nasazena v Cloudovém prostředí a verze pro On-Premises je k dispozici ke stažení výše. -
Které verze IceWarpu jsou zasaženy?
Problém se týká všech verzí EPOS, včetně nejnovějšího vydání. -
Ovlivňuje zranitelnost Windows nebo Linux?
Zranitelnost se týká obou operačních systémů. -
Jaká nápravná opatření byla přijata?
Byla připravena bezpečnostní oprava a distribuována našim partnerům a zákazníkům spolu s instalačními instrukcemi k nové verzi (On-Premises). V případě Cloudového prostředí byla tato aktualizace již nasazena ve všech instancích. -
Jak bude oprava distribuována?
Oprava bude distribuována prostřednictvím odkazu na KB článek přiloženého v e-mailu; příjemci nebudou muset vyhledávat žádné další soubory ani informace. Veškeré potřebné instalační pokyny a doplňující informace budou uvedeny v KB článku. -
Jak plánujete předcházet podobným incidentům v budoucnu?
Takovým incidentům nelze zcela zabránit, nicméně budeme i nadále provádět pravidelné bezpečnostní audity a zavádět častější aktualizace a bezpečnostní opravy, abychom proaktivně řešili potenciální zranitelnosti.
Komentáře
0 komentářů
K článku není možné přidávat komentáře.