Zum Hauptinhalt springen

Security Advisories

Willkommen auf der Security Advisory Seite von linqi. Die Sicherheit unserer Softwareprodukte und der Schutz Ihrer Daten haben für uns höchste Priorität. Auf dieser Seite informieren wir Sie transparent über identifizierte und behobene Sicherheitslücken (CVEs), teilen technische Details und stellen Ihnen die entsprechenden Patches zur Verfügung. Wir empfehlen Ihnen, die hier aufgeführten Sicherheitsupdates stets zeitnah in Ihren Systemen einzuspielen.

Möchten Sie uns eine Schwachstelle melden? Bitte lesen Sie unsere Richtlinie zur Offenlegung von Schwachstellen.

Sicherheitsmeldungen

Security Advisory: LDAP-Injection in linqi

Advisory ID: SEC-2024-001
Veröffentlichungsdatum: 14. Mai 2024
Status: Gelöst (Resolved)

Übersicht

  • CVE-ID: CVE-2024-33868
  • Schwachstellen-Typ: LDAP Injection (CWE-90)
  • Schweregrad (Severity): Kritisch (Critical)
  • CVSS Base Score: 9.8

Betroffene Produkte

  • linqi für Windows – Alle Versionen vor 1.4.0.1

Beschreibung der Schwachstelle

In den betroffenen Versionen unserer Software wurde eine Sicherheitslücke im Bereich der LDAP-Abfragen entdeckt. Bei der Verarbeitung von Benutzereingaben auf Windows-Systemen werden spezielle LDAP-Zeichen nicht ausreichend bereinigt. Dadurch ist es einem Angreifer aus der Ferne möglich, bösartige LDAP-Steuerzeichen einzuschleusen (LDAP Injection).

Lösung (Patch)

Das Problem wurde in der Version 1.4.0.1 vollständig behoben. Wir empfehlen allen Kunden dringend, ihre Systeme schnellstmöglich auf die neueste Version zu aktualisieren.

Danksagung

Wir danken Arnoldas Radisauskas vom NATO Cyber Security Centre (NCSC) für seine professionelle Meldung der Schwachstelle und die gute Zusammenarbeit.

Security Advisory: Hardcoded Password Salt in linqi

Advisory ID: SEC-2024-002
Veröffentlichungsdatum: 14. Mai 2024
Status: Gelöst (Resolved)

Übersicht

  • CVE-ID: CVE-2024-33867
  • Schwachstellen-Typ: Use of Hard-coded Password / Salt (CWE-259)
  • Schweregrad (Severity): Mittel (Medium)
  • CVSS Base Score: 4.8

Betroffene Produkte

  • linqi für Windows – Alle Versionen vor 1.4.0.1

Beschreibung der Schwachstelle

In Versionen vor 1.4.0.1 wurde festgestellt, dass die Software ein hartcodiertes "Password Salt" verwendet. Ein hartcodierter kryptografischer Salt verringert die Sicherheit von gehashten Passwörtern, da Angreifer, die Zugriff auf den Quellcode oder die Binärdateien haben, den Salt extrahieren und für Wörterbuch- oder Rainbow-Table-Angriffe wiederverwenden können.

Lösung (Patch)

Das Problem wurde in der Version 1.4.0.1 vollständig behoben. Wir empfehlen ein zeitnahes Update auf diese Version.

Danksagung

Wir danken Arnoldas Radisauskas vom NATO Cyber Security Centre (NCSC) für seine professionelle Meldung der Schwachstelle und die gute Zusammenarbeit.

Security Advisory: Cross-Site Scripting (XSS) in DocumentTemplate API

Advisory ID: SEC-2024-003
Veröffentlichungsdatum: 14. Mai 2024
Status: Gelöst (Resolved)

Übersicht

  • CVE-ID: CVE-2024-33866
  • Schwachstellen-Typ: Cross-site Scripting / XSS (CWE-79)
  • Schweregrad (Severity): Mittel (Medium)

Betroffene Produkte

  • linqi für Windows – Alle Versionen vor 1.4.0.1

Beschreibung der Schwachstelle

Eine Schwachstelle bezüglich unzureichender Bereinigung von Benutzereingaben ("Improper Neutralization of Input During Web Page Generation") wurde in der linqi-Anwendung gefunden. Der Endpunkt /api/DocumentTemplate/{GUID} ist anfällig für Cross-Site Scripting (XSS). Dies ermöglicht es einem Angreifer, schädliche Skripte im Browser eines Opfers auszuführen.

Lösung (Patch)

Das Problem wurde in der Version 1.4.0.1 vollständig behoben. Bitte installieren Sie das entsprechende Update.

Danksagung

Wir danken Arnoldas Radisauskas vom NATO Cyber Security Centre (NCSC) für seine professionelle Meldung der Schwachstelle und die gute Zusammenarbeit.

Security Advisory: NTLM Hash Leak via API Endpoints

Advisory ID: SEC-2024-004
Veröffentlichungsdatum: 14. Mai 2024
Status: Gelöst (Resolved)

Übersicht

  • CVE-ID: CVE-2024-33865
  • Schwachstellen-Typ: Exposure of Sensitive Information (CWE-200)
  • Schweregrad (Severity): Hoch (High)

Betroffene Produkte

  • linqi für Windows – Alle Versionen vor 1.4.0.1

Beschreibung der Schwachstelle

Eine Schwachstelle in den Endpunkten /api/Cdn/GetFile und /api/DocumentTemplate/{GUID} ermöglicht den unautorisierten Abfluss von sensiblen Informationen. Durch eine gezielte Anfrage kann es zu einem NTLM-Hash-Leak kommen, durch das Angreifer die NTLM-Authentifizierungshashes des Servers abfangen können.

Lösung (Patch)

Das Problem wurde in der Version 1.4.0.1 behoben. Wir empfehlen allen Kunden ein sofortiges Update.

Danksagung

Wir danken Arnoldas Radisauskas vom NATO Cyber Security Centre (NCSC) für seine professionelle Meldung der Schwachstelle und die gute Zusammenarbeit.

Security Advisory: Server-Side Request Forgery (SSRF) via Document Template Generation

Advisory ID: SEC-2024-005
Veröffentlichungsdatum: 14. Mai 2024
Status: Gelöst (Resolved)

Übersicht

  • CVE-ID: CVE-2024-33864
  • Schwachstellen-Typ: Server-Side Request Forgery / SSRF
  • Schweregrad (Severity): Hoch (High)

Betroffene Produkte

  • linqi für Windows – Alle Versionen vor 1.4.0.1

Beschreibung der Schwachstelle

In der Dokumenten-Vorlagengenerierung wurde eine SSRF-Schwachstelle (Server-Side Request Forgery) entdeckt. Über die Einbindung entfernter Bilder während der PDF-Generierung durch bösartiges JavaScript ist es Angreifern möglich, den Server dazu zu bringen, serverseitige Anfragen an beliebige interne oder externe Systeme auszuführen. Auch File Inclusion ist hierüber möglich.

Lösung (Patch)

Die Schwachstelle wurde mit dem Update auf Version 1.4.0.1 geschlossen. Bitte aktualisieren Sie die betroffenen Systeme.

Danksagung

Wir danken Arnoldas Radisauskas vom NATO Cyber Security Centre (NCSC) für seine professionelle Meldung der Schwachstelle und die gute Zusammenarbeit.

Security Advisory: Local File Inclusion in GetFile API

Advisory ID: SEC-2024-006
Veröffentlichungsdatum: 14. Mai 2024
Status: Gelöst (Resolved)

Übersicht

  • CVE-ID: CVE-2024-33863
  • Schwachstellen-Typ: Local File Inclusion / LFI
  • Schweregrad (Severity): Kritisch (Critical)
  • CVSS Base Score: 9.8

Betroffene Produkte

  • linqi für Windows – Alle Versionen vor 1.4.0.1

Beschreibung der Schwachstelle

Es wurde eine kritische Schwachstelle im API-Endpunkt /api/Cdn/GetFile gefunden. Aufgrund unzureichender Validierung von Dateipfaden liegt eine Local File Inclusion (LFI) Lücke vor. Ein unauthentifizierter Angreifer kann diese Schwachstelle ausnutzen, um beliebige lokale Dateien vom Server-Dateisystem auszulesen, was zu einem schwerwiegenden Informationsabfluss führen kann.

Lösung (Patch)

Dieses kritische Problem wurde in Version 1.4.0.1 gepatcht. Wir empfehlen dringend, das Update umgehend einzuspielen.

Danksagung

Wir danken Arnoldas Radisauskas vom NATO Cyber Security Centre (NCSC) für seine professionelle Meldung der Schwachstelle und die gute Zusammenarbeit.