Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine kritische Schwachstelle in der Zeichenketten-Verarbeitungskomponente Apache Commons Text veröffentlicht (CVE-2022-42889). Auch in Softwareprodukten von M.O.S.S. und CADMAP wird diese Komponente eingesetzt, so dass diese potenziell verwundbar sind.
Um Abhilfe bei diesem Risiko zu schaffen, steht in unserem Kundenbereich ein Hotfix zur Verfügung, das die verwundbare Bibliothek in den Webapplikationen unserer Software durch die fehlerbereinigte Version ersetzt. Das Einspielen des Hotfix wird allen Anwendern unserer Software dringend empfohlen. Für jene Anwender, bei denen wir den Betrieb der Software übernehmen bzw. durch eine entsprechende Zusatzvereinbarung unterstützen, erfolgt das Einspielen im Rahmen der vereinbarten Abläufe durch unsere Experten.
Kunden, die WEGA mit der Container-Technologie verwenden, müssen das EMS-Image aktualisieren.
Hotfix Vorgehensweise:
Laden Sie bitte die ZIP-Datei Hotfix-221024_commons-text-1.10.0.zip herunter und entpacken Sie diese auf dem Applikationsserver. Lesen Sie die zugehörige Readme. Öffnen Sie die Datei jar-updater-commons-text.bat in einem Editor und passen Sie bitte die Pfade zu WEGA, novaKANDIS@ und novaFACTORY entsprechend Ihrer Installation an. In der Datei sind die Standardinstallationspfade bereits voreingestellt. Sollten Sie nur eines der Produkte verwenden, so deaktivieren Sie bitte den nicht benötigten Aufruf durch ein Kommentarzeichen. Achten Sie bitte darauf, dass bei novaFACTORY der Pfad auf das webapps-Verzeichnis zeigt, wie es in der .bat-Datei bereits eingetragen ist. Führen Sie das Skript jar-updater-commons-text.bat als Administrator aus und folgen Sie den Anweisungen am Bildschirm.
Bei weiteren Fragen wenden Sie sich bitte an unseren Support.
