HCL hat für seine Produkte Bigfix Platform, Devops Deploy und Launch (UCD) Updates veröffentlicht. Sie schließen teils kritische Sicherheitslücken darin. IT-Verwantwortliche sollten schnell sicherstellen, auf dem aktuellen Stand zu sein. Laut Sicherheitsmitteilung schließt HCL in Bigfix Platform allein acht Sicherheitslücken. Eine kritische betrifft die Drittherstellersoftware cURL, Angreifer könnten einen Pufferüberlauf bei der Verarbeitung von SOCKS5-Verbindungen zum Einschmuggeln von Schadcode missbrauchen (CVE-2023-38545, CVSS 9.8, Risiko „kritisch“). Die weiteren Lücken betreffen den Bigfix Sourcecode. Angreifer mit einer gültigen Basic-Authentication können aufgrund einer Lücke unbefugt an sensible Nutzerinformationen gelanfen (CVE-2024-23553, CVSS 8.2, hoch). Zudem stufen die Entwickler von HCL eine Cross-Site-Scripting-Lücke in den Web Reports als mittlere Bedrohung ein (CVE-2023-37528, CVSS 6.5, mittel). Die Komponente enthielt zudem eine Reflected Cross-Site-Scripting-Lücke, die Angreifern das Ausführen von Javascript-Code in einer Anwendungssitzung oder in der Datenbank erlaubt (CVE-2023-37527, CVSS 5.4, mittel). Die weiteren Schwachstellen stuft HCL als niedriges Risiko ein. Temporäre Gegenmaßnahmen zur Absicherung nennt HCL nicht. Die Updates auf die Versionen 11.0.1, 10.0.11 sowie 9.5.24 stopfen die Sicherheitslecks. Administratorinnen und Administratoren sollen die zugehörigen Upgrade-Patch-Fixlets genannten Patches in der Konsole suchen und diese starten und anwenden. Zudem schließt HCL in Devops Deploy und Launch (UCD) mit den Versionen 8.0.0.1, 7.3.2.4, 7.2.3.9, 7.1.2.16 und 7.0.5.20 eine HTTP-Request-Schmuggel-Lücke im mitgelieferten Apache Tomcat-Server (CVE-2023-46589, CVSS 6.5, mittel). Wenn der Windows-Agent als Dienst installiert wurde, können bösartige Akteure sensible Nutzerinformationen ausspähen (CVE-2024-23550, CVSS 6.2, mittel). Für beide Schwachstellen finden sich die genannten aktualisierten Versionen im HCL Download-Center, das nach einer Anmeldung zugreifbar ist.

Quelle: Heise