[English]Kurzer Hinweis für Administratoren, die den Load-Balancer LoadMaster von Progress Kemp verwenden. Der Anbieter hat den nächsten Patch für August 2024 herausgegeben. Es soll die neue Schwachstelle CVE-2024-6658 geschlossen werden. Details gibt es derzeit noch keine für die Öffentlichkeit.
Anzeige
Was ist Progress Kemp?
Von Progress Kemp gibt es den Load-Balancer LoadMaster, der einen Lastenausgleich in Netzwerken bereitstellen soll. In seiner einfachsten Form bietet ein Load Balancer die Möglichkeit, Anwendungsbenutzer an den leistungsstärksten und zugänglichsten Server weiterzuleiten.
Nächste Schwachstelle CVE-2024-6658
Ich weiß nicht, wer den Progress Kemp LoadMaster (Load-Balancer) noch einsetzt. Das Teil mutiert zur eine wandelnden Schwachstelle. Zum 20. August 2024 hatte ich im Beitrag Progress Kemp LoadMaster (Load-Balancer) wegen CVE-2024-7591 aktualisieren über die Schwachstelle CVE-2024-7591 berichtet. Man solle patchen, hieß es – öffentlich ist bisher in Bezug auf Details nichts geworden.
Nun ist mir die nächste Warnung vom 29. August 2024 zur Schwachstelle CVE-2024-6658 untergekommen. Details will man zum 12. September 2024 veröffentlichen, registrierte Nutzer sollten aber Details zur Sicherheitslücke in der ranzigen Software bekommen haben.
Administratoren, die das Produkt verwenden, sollten unverzüglich aktualisieren. Aber halt, es gibt derzeit nur einen Patch für den LoadMaster, der die Software. Version 7.2.55.0 auf die Version 7.2.60.1 hebt. Für ältere Versionen und den Multi-Tenant Load Master gibt es noch nichts an Updates.
Anzeige
Anzeige
Ich würde nicht sagen, das das Teil zur wandelnden Schwachstelle mutiert. Andere Mitbewerberprodukte kämpfen mit den gleichen Problemen und sind da mit der Kommunikation beiweiten nicht so offen. Ich sag da nur Citrix NetScaler/ADC/Gateway oder wie das teil sich gerade nennt.
Und wer weis was an den selben Problemen in OpenSource wie HA-Proxy oder Nginx Proy Manager stecken die ja zum Teil die Grundlage kommerzieller LoadBalancer sind.
Wer das noch einsetzt? Die CDU… NextCloud… ein OWA2011 mit einem KEMP aus 2013 in 2024… schon vergessen?
Guten Morgen in die Runde. Wir nutzen die LB von Kemp und ich persönlich bin sehr zufrieden mit dem Produkt und dem Service.
Das eine Lücke auftaucht – das verwundert mich heutzutage nicht mehr – es ist einfach zu komplex. Wie schnell und (sehr) gut aber reagiert wird finde ich bei Kemp/Progress lobenswert. Man wird immer informiert bzw. bekommt eine Mail mit Hinweisen. Der Support hilft und man wird keineswegs allein gelassen.
Dazu gibt es immer einen verständlichen Hinweis wie damit umzugehen ist.
Eventuell ist die harsche Kritik hier deshalb so entfacht weil es 2 Meldungen in kürzester Zeit waren – ok.
Jedoch muss ich sagen bekommt man zu den Schwachstellen auch immer eine Lösung die nicht gleich das ganze System "runterreißen".
Grüße in die Runde
Guten Morgen,
Danke für die Info, aktuell gibt es immer noch den "Generally Available (GA) Feature Release 7.2.60.0" auf der Offiziellen Seite :(
wir setzen den noch übergangsweise ein weil die Umstellung auf GW noch andauert.
Tatsächlich erhält man diesen nur über den Link in der Benachrichtigung, welche Kunden erhalten haben. Über das Support Portal kann man sich entsprechende Informationen abbonieren.
Gibt es demnach eine neuere Version als 7.2.60.0? Finde keine Info, auch im Supportportal nach dem Login. Hast du evtl. mehr Informationen?
Ja es gibt eine 7.2.60.1. Den Link zum Download gab es allerdings nur in der Nachricht von Kemp. Sonst habe ich auch keine weiteren Informationen dazu gefunden. Vermutlich machen die den Patch erst öffentlich, wenn auch die Lücke publik gemacht wird. Ggf. einfach mal ein Ticket aufmachen.
Leider hat der Artikel nichts mit neutraler und sachlicher Berichterstattung zu tun – Etwas, was ich bisher in diesem Blog geschätzt habe. Ich kann mich meinem Vorredner nur anschließen – Wir sind bisher sehr zufrieden mit dem Produkt und dem Support…
Bin mit dem Produkt und dem Support auch sehr zufrieden. Verstehe das Framing in dem Blogbeitrag nicht und die Bezeichnung "ranzigen Software" ist ziemlich weird.
Ich stelle fest, dass ich mit meiner Spitze mal wieder ins Schwarze getroffen habe. Wenn ihr mit dem Produkt zufrieden seid – ist doch ok. Was mir aber im Hinterkopf rum geht: Es gibt wiederkehrend Sicherheitslücken, die dann an den registrierten Personenkreis kommuniziert werden. Zugriff auf das, was später an Details veröffentlicht wird, haben m.W. nur registrierte Nutzer.
Ich blogge gelegentlich hier über solche Sicherheitslücken – um mir dann auch noch die Diskussion "aber das ist noch nicht öffentlich" einzufangen. Andererseits bekomme ich gleichzeitig Kommentare der Art "danke, habe ich gar nicht mitbekommen, wo ist das veröffentlicht, wir haben nichts bekommen". An dieser Stelle wird für mich das Produkt oder Konzept "ranzig" – wenn Admins, die das einsetzen, das anders beurteilen, kann ich gut mit leben. Werde aber die Berichterstattung über den Progress Kemp LoadMaster hier voraussichtlich entfallen lassen – ist mir die Sache nicht wert.
Hallo,
wir sind immer sehr dankbar meister schneller hier eine Info zu erhalten. Meist landet bei uns die Info erst viel später, deshalb hoffe ich es geht hier doch noch weiter mit der LoadMaser Berichterstattung, denn genau wie beschreiben ist unser Unternehmen durch das Raster gefallen und hat eben keine Info bekommen.
Natürlich etwas harsche Kritik, aber ist auch Blog und da darf die Meinung des Bloggers auch gerne emotionaler ausfallen. Lese gerne die Berichte und mal teile ich die Meinung und mal nicht, aber 95 % sind genau nach meinem Geschmack.
Danke dafür :)
Sie können bloggen worüber sie wollen, ist ja ihr Blog.
Als KEMP Kunde werde ich aktiv über Sicherheitslücken informiert -> zu dieser: gestern Do. 29.August 17:00
Hierzu kann man sich kostenfrei über das KEMP Support Portal registrieren.
Kunden mit "danke, habe ich gar nicht mitbekommen, wo ist das veröffentlicht, wir haben nichts bekommen" sollten an Ihren eigenen Betriebsabläufen arbeiten – für mich wirken diese ranzig.
Also KEMP ist bisher in der Hinsicht wirklich gut.
Daher auch meine Verwunderung über den Geschmack des Artikels.
Lasse ich schlicht im Raum stehen. Ich stelle hier im Blog "meine Innenansicht" dar. Bei Broadcom gab es einen Aufschrei, als die Sicherheitsmeldungen hinter ein Portal mit Registrierungspflicht stellen wollten – die sind schnell zurück gerudert. Bei KEMP ist es doch das Gleiche – finden die Leute offenbar gut.
Es gibt Leute, die lassen mir unter der Hand die Infos zukommen – ich schaue schon, was ich veröffentliche – aber prompt schlagen Beschwerden ein, dass das nicht in Ordnung sei und ich "wohl arg auf Klicks aus sei" (die KEMP-Beiträge liegen von den Abrufzahlen unter ferner liefen) – für mich ist das "Security by Obscurity" in Reinkultur – wenn ich nichts über eine Sicherheitslücke weiß, ist die nicht sichtbar, also sicher.
Und nun diskutieren wir hier auf einem Nebenkriegsschauplatz über "was ist ranzig", "was sollen Kunden tun". Das ist es mir schlicht nicht wert – und mir ist die Zeit zu schade. Ergo ziehe ich an der Stelle den Stecker – Leben kann einfach sein.
Was ich traurig finde ist: KEMP macht nichts besonderes, was ein haproxy oder meinetwegen ein Apache in Kombination mit einem schicken Grafana Monitoring nicht auch machen würde. Verpackt in einer schicken Verpackung, garniert mit etwas Marketing verkaufen die eine Nullleistung. In etwa so, als ob ich anfangen würde Frischluft in Dosen zu packen und zu verkaufen, oder Orgonstatuen oder Heiliges Wasser. Aber solange es hinreichend Deppen gibt, die daran glauben, wird es wohl auch Unternehmen geben, die solche Nullleistungs-Produkte verkaufen.
"Deppen" ?! Kann man ja mal so stehen lassen. Das Produkt ist ja eh "ranzig".