Kurze Vorankündigung für Administratoren, die den Kemp Progress Loadmaster im Einsatz haben. Es gibt wohl Schwachstellen im Produkt, die zeitnah zu patchen sind. Ergänzung 13.1.2026: Schwachstellen nachgetragen.
Die Informationen sind derzeit nicht öffentlich und sollen erst zum 12. Januar 2026 offen gelegt werden (trage ich dann hier nach). Der Hersteller stellt seit dem 17. Dezember 2025 (nicht öffentliche) Updates zum Schließen der Schwachstellen bereit (danke an den Hinweisgeber).
Sofern nicht per Mail informiert, sollten die Kunden im Kontakt mit den Kemp Progress Partnern oder dem Hersteller direkt Informationen zu den Schwachstellen anfordern, die Updates herunterladen und die betroffenen Produkte patchen.
Schwachstellen in Progress Loadmaster
Ergänzung: Nachdem die Offenlegungssperre zum 12. Januar 2026 aufgehoben wurde, hier die Details. Der Hersteller hat im Dezember 2025 zwei schwerwiegende Sicherheitslücken im Kemp Progress Loadmaster festgestellt und zum 17. Dezember 2025 nicht öffentlich darüber informiert:
- CVE-2025-13444: UI/API Command Injection Remote Code Execution Vulnerability (getcipherset)
- CVE-2025-13447: UI/API Command Injection Remote Code Execution Vulnerability (addapikey, delapikey, delcert, dmidecode, listapikeys, ssodomain)
Derzeit liegen dem Anbieter keine Berichte darüber vor, dass diese Sicherheitslücken ausgenutzt wurden, und es sind auch keine direkten Auswirkungen auf den Betrieb der Kunden bekannt. Es sind die in der folgenden Tabelle aufgeführten Produkte und Versionen betroffen.
|
Es ist zu beachten, dass der Multi-Tenant LoadMaster (LoadMaster MT) wie folgt betroffen ist:
- Der MT-Hypervisor oder Manager-Knoten ist (nur) für CVE-2025-13444 anfällig und muss so schnell wie möglich mit dem oben aufgeführten Update gepatcht werden.
- Die einzelnen instanziierten LoadMaster-VNFs sind anfällig und müssen so schnell wie möglich mit dem oben für die entsprechende GA- oder LTSF-Version aufgeführten Update gepatcht werden.
Ein Knowledge-Base-Artikel mit Details zur Sicherheitslücke und den CVEs wurde am 12. Januar 2026 für jede Produktlinie veröffentlicht. Da diese Artikel nicht öffentlich sind, verzichte ich auf eine Verlinkung.
MVP: 2013 – 2016
Wir lieben solche Hauruck-Aktionen kurz vor Weihnachten.
Soll Kemp lieber bis nach Weihnachten mit dem Patch warten?
Nein, aber "ist nicht öffentlich und muss extra angefragt werden" ist nicht besonder seriös und schreckt mich eher von dieser Firma ab.
Vor allem, wer liebt es nicht, seine Infrastruktur kurz vor den Feiertagen zu ärgern, nur weil es nicht vernünftig sobald bekannt bereitgestellt und veröffentlicht wird?
für die, die ein Login da haben:
https://community.progress.com/s/article/LoadMaster-Vulnerabilities-CVE-2025-13444-CVE-2025-13447
Haben den Patch ohne Probleme eingespielt. Leider haben wir diesmal nicht wie üblich eine Info per Mail bekommen und mussten de Patch dann über das Forum beziehen. Die Praxis von Progress kann ich da nicht ganz nachvollziehen – Sollen sie die Patche doch einfach für alle Veröffentlichen wenn nötig.
Kann nur Progress beantworten – aber die fahren seit Jahren diesen Stiefel – ich hätte es nicht mitbekommen, wenn ich nicht durch einen Leser darauf hingewiesen wurde. Da es in der Vergangenheit schon mal Kritik gab, stelle ich Details erst zum Januar 2026 hier im Blog bereit.
Der Hinweis war für mich vollkommen ausreichend – Ohne diesen hätte ich nichts von dem Update mitbekommen und die Systeme wären über die Feiertage ungeschützt gewesen.
Somit vielen Dank hierfür!
Kann mich hier nur anschließen. Progress bekleckert sich hier wieder mal nicht mit Ruhm.
Moin und ein gesundes neues Jahr!
Alle Kemp/Progress-IDs bekommen eine Info mit Link per E-Mail, wenn es neues Patches gibt. Wenn der Service deaktiviert wurde, kommen diese E-Mails nicht mehr an. Ich empfehle daher, die Progress-ID-Einstellungen einmal zu prüfen.
Intern habe ich die Info bekommen, dass alle Kunden am 18.12 über diese Vulnerability und den Patch per E-Mail informiert wurden und eine zweite Runde mit Emails für den 12ten Januar, also nach dem offiziellen Release des CVE geplant ist.
Dennoch frage ich intern nochmal nach, ob es bei der Versendung der Info zu diesem Patch Probleme gab.