Diese PACTware-Schwachstelle kann die Ausführung beliebiger Programme ermöglichen.
Dem PACTware Consortium e. V. ist eine Sicherheitslücke in der PACTware-Software bekannt.
Hintergrund für das Sicherheitsproblem:
Der Benutzer kann für seine tägliche Arbeit mit der PACTware-Software verschiedene Projektansichten definieren.
Diese "Projektansichten" können in separaten Dateien gespeichert werden. Die Schwachstelle wird durch die Möglichkeit verursacht, bestehende Projektdateien zu importieren, auch solche, die von Drittanbietern bereitgestellt werden.
Auswirkungen:
Durch das Laden und Deserialisieren von nicht vertrauenswürdigen Projektdateien in PACTware 5.0.5.31 und niedrigeren Versionen kann die Schwachstelle für Cybersicherheitsangriffe ausgenutzt werden.
Entfernte Angreifer können die Schwachstelle ausnutzen, um beliebige Programme auszuführen und Informationen abzugreifen.
Betroffene Produkte:
PACTware 5.0 Versionen: PACTware 5.0.5.31 und niedriger
PACTware 4.X und frühere Versionen sind NICHT betroffen!
Lösung:
Eine Lösung wird mit PACTware 6 in Q2 2021 bereitgestellt.
In der Zwischenzeit reicht es aus, den üblichen Umgang mit Dateien aus unbekannter oder nicht vertrauenswürdiger Quelle zu befolgen.
Abhilfe:
- Tauschen Sie Projektdaten nur über sichere Austauschdienste aus.
- Verwenden Sie geeignete Mittel, um die Speicherung vor unbefugter Manipulation zu schützen.
- Öffnen Sie keine Projektdaten aus unbekannter Quelle.
Aktualisieren Sie auf PACTware Version 6, wenn verfügbar.
Auch danach empfehlen wir, mit Dateien aus unbekannten oder nicht vertrauenswürdigen Quellen
mit Vorsicht zu behandeln.
Zwei neue PACTware-Versionen sind freigegeben worden: PACTware 5.0.5.31 und PACTware 4.1 SP6. Der Grund dafür ist, dass Sicherheitsprobleme mit der Passwortverwaltung gelöst wurden. Außerdem gibt es eine neue Version für PACTware 4, da einige Anwender noch diese alte Version für spezielle Anwendungen nutzen. Neben dem Sicherheitsupdate wurden einige kleinere Fehlerkorrekturen für PACTware 5 vorgenommen und die Funktion 'Clone Parameter' für PACTware DC (in PACTware 5 enthalten) implementiert.
Die Funktion 'Clone Parameter' bietet eine Möglichkeit, Parameter von einem Gerät auf ein Gerät des gleichen Typs zu übertragen. Auf diese Weise können wiederkehrende Einstellungen mehrerer Geräte sehr effizient durchgeführt werden.
Hintergrund zu den Sicherheitsfragen:
PACTware unterstützt 'Benutzerrollen', die den Benutzerzugriff gemäß der FDT-Richtlinie einschränken. Im Ausgangszustand von PACTware sind keine Passwörter gesetzt und dem Benutzer wird die Benutzerrolle 'Admin' zugewiesen, die keine Einschränkungen der Zugriffsrechte enthält. Aktiviert der Benutzer nun die Rollenzugriffskontrolle, kann er jeder Rolle ein Passwort zuweisen, die dann individuelle Zugriffsbeschränkungen auf das PACTware-Projekt hat.
Auswirkungen:
In früheren Versionen von PACTware war es nach der Anmeldung mit Administratorrechten möglich, die Passwörter der einzelnen Rollen ohne weitere Bestätigung mit dem Administratorpasswort zu ändern. Durch die Eingabe eigener Passwörter hatte ein potentieller Angreifer die Möglichkeit, autorisierte Benutzer auf zwei Arten an der Nutzung der Software zu hindern. Zum einen, wenn noch keine Passwörter vergeben wurden (siehe Ausgangszustand oben) oder zum anderen, wenn es ihm gelingt, auf eine bereits geöffnete Anwendung mit Administratorrechten zuzugreifen, z. B. über eine offen zugängliche Workstation.
Lösung:
Das Sicherheitsproblem ist mit den Updates der Versionen PACTware 5 und PACTware 4 gelöst. Bei der Vergabe von neuen Passwörtern ist es nun erforderlich, die Übernahme mit dem Admin-Passwort zu bestätigen. Zusätzlich wird das Passwort nun auch in der Registry mit einer sehr hohen Sicherheitsstufe gespeichert.
Kompatibilität zu früheren Versionen:
Die Benutzerrollenzuordnungen mit den Passwörtern aus den Vorgängerversionen bleiben auch beim Upgrade mit den neuen Versionen erhalten. Die weitere Arbeit mit den Zugriffsberechtigungen erfolgt dann aber mit den oben beschriebenen erhöhten Sicherheitsstandards.
Die korrigierten Versionen (PACTware ® 5.0.5.31 und PACTware ® 4.1 SP6) stehen hier zum Download bereit: