Progress Telerik und LoadMaster: Sicherheitslücken behoben

15.02.2025 13:18 Uhr heise

Warnung vor Schwachstellen

Progress gibt bekannt, dass es in den Entwicklertools Telerik und dem Load Balancer Loadmaster Sicherheitslecks gibt. Diese Schwachstellen könnten von Angreifern ausgenutzt werden um vertrauliche Informationen aus der Kommunikation zwischen Agent- & Host-Komponenten zu stehlen. Bei Loadmaster besteht zudem die Gefahr, dass Angreifer Befehle ins Betriebssystem einschleusen können.

Beschreibung der Sicherheitslücken

Die Sicherheitsmitteilung von Progress zu Telerik beschreibt die Schwachstelle als eine "Klartext-Übertragung von sensiblen Informationen". Der CVE-Code hierfür lautet CVE-2025-0556 und der CVSS-Wert beträgt 8.8 was auf ein hohes Risiko hinweist. Der Hersteller macht jedoch darauf aufmerksam » dass beim Report Server « wenn nur die ältere .Net-Framework-Implementierung verwendet wird die Kommunikation nicht-sensibler Daten über einen ungeschützten Tunnel erfolgt. Sowohl der Service-Agent sowie der App-Host befinden sich in der Standard-Installation auf derselben Maschine. Es gibt jedoch ebenfalls andere Installationsvarianten die das Risiko durch möglichen Missbrauch aus dem Netz erhöhen.

Verfügbare Updates für Telerik

Für Nutzer der neueren .Net-Implementierung tritt das beschriebene Problem nicht auf. Die betroffenen Versionen von Telerik sind die 2024 Q4 (10.3.24.1218) und frühere Versionen. Die Version 2025 Q1 (11.0.25.211) und spätere Versionen beheben das zugrunde liegende Problem.

Sicherheitslücken in Loadmaster

In einer weiteren Mitteilung thematisiert Progress weitere Schwachstellen in Loadmaster und auch im Loadmaster Multi-Tenant (MT) Hypervisor. Angreifer können bis zu fünf verschiedene Sicherheitslecks ausnutzen. Nach Authentifizierung am Management Interface könnten sie durch präparierte HTTP-Anfragen beliebige Systembefehle ins Betriebssystem einschleusen. Die zugehörigen CVEs sind CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135 die alle einen CVSS-Wert von 8.4 aufweisen und ähnlich wie als hochriskant gelten. Zudem ermöglicht eine weitere Lücke das Herunterladen beliebiger Dateien vom Zielsystem (CVE-2024-56134, CVSS 8.4).

Korrektur der Sicherheitslücken

Für die Versionen von Loadmaster 7.2.55.0 bis 7.2.60.1 behebt die Version 7.2.61.0 (GA) die Sicherheitsfehler. Version 7.2.54.13 (LTSF) ist für die Versionen 7.2.49.0 bis 7.2.54.12 gedacht. Nutzer der älteren Version 7.2.48.12 oder älter werden aufgefordert, umgehend auf die aktuelle GA- oder LTSF-Version zu aktualisieren. Auch für den Multi-Tenant Loadmaster gilt: Das Update auf die Version 7.1.35.13 (GA) bereitsteht.

Handlungsempfehlung für IT-Verantwortliche

IT-Verantwortliche sollten dringend die Updates installieren. Bereits im November des vergangenen Jahres warnte die US-amerikanische IT-Sicherheitsbehörde CISA vor den bestehenden Sicherheitslücken in Loadmaster die möglicherweise aktiv ausgenutzt werden.

Kommentare

Ähnliche News

Sicherheitsupdates für Sitefinity: Wichtige Informationen für Admins

CMS: Updates stopfen Sicherheitslecks in Progress Sitefinity

Das Content Management System (CMS) Sitefinity von Progress hat zwei bedeutsame Sicherheitslücken offenbart. Diese Schwachstellen wurden von den Entwicklern als hochriskant eingestuft.

Sicherheitslücken bei VMware Aria Operations for Networks entdeckt

VMware Aria: Sicherheitslücken erlauben etwa Rechteausweitung

In der Welt der IT-Sicherheit herrscht erneut Alarmstufe Rot: VMware hat insgesamt fünf Sicherheitslücken in Aria Operations for Networks vormals bekannt als vRealize entdeckt und mit einer aktualisierten Software behoben.

Kritische Sicherheitslücken in "Whatsup Gold"

Die Netzwerk-Überwachungssoftware "Whatsup Gold" vom Hersteller Progress hat Sicherheitsprobleme. Einige dieser Lücken sind besonders gravierend. Entwickler haben diese Schwachstellen als kritisch eingestuft. IT-Verantwortliche müssen schnell handeln. Ein Update ist erforderlich.

Angriffe auf Sicherheitslücken: Android-Kernel, Apache OfBiz und Progress WhatsUp

Attacken auf Android-Kernel, Apache OfBiz und Progress WhatsUp

Der Fokus von kriminellen Aktivitäten liegt derzeit auf den Sicherheitslücken im Android-Kernel, Apache OfBiz und Progress WhatsUp. IT-Verantwortliche stehen in der Verantwortung, Updates zügig zu implementieren wo immer dies möglich ist.

Cyberangriffe auf Sicherheitslücken in Microsoft und Progress

Angreifer attackieren Sicherheitslücken in Microsofts MSHTML und Whatsup Gold

Cyberkriminalität stellt eine ständige Bedrohung dar. Aktuell werden Sicherheitslücken in Microsofts MSHTML und der Netzwerk-Monitoring-Software Whatsup Gold ausgenutzt. Die US-amerikanische IT-Sicherheitsbehörde CISA warnt eindringlich vor diesen Angriffen.