Schwachstellen in Progress OpenEdge (Sept. 2024)

Ich weiß nicht, wie viele Administratoren aus der Leserschaft für Progress OpenEdge (und Drittanbieter-Komponenten), vertrieben bzw. benutzt von proALPHA, verantwortlich sind. Es besteht aber dringender Handlungsbedarf, denn in der Software gibt es Schwachstellen, was sich auch auf ProALPHA auswirkt. Es gibt aber Software-Updates, um die betreffenden Schwachstellen zu beseitigen.

Progress, OpenEdge und proALPHA

Progress Software Corp. ist ein US-amerikanisches Unternehmen, welches Applikations-Infrastruktur-Software für die Entwicklung, die Integration und das Management von Geschäftsanwendungen anbietet. Zu den wichtigsten Produkten zählen ein Datenbanksystem und eine in das DBMS integrierte Programmiersprache der vierten Generation. Die aktuelle Produktlinie heißt Progress OpenEdge. proALPHA ist eine Unternehmensgruppe und gleichzeitig der Name einer ERP-Software.

Warnung vor Schwachstellen

Ein Blog-Leser hat mich darüber informiert, dass es in Progress OpenEdge Schwachstellen gibt, die sich auch auf Drittanbieter-Komponenten auswirken. Daher sind – nach Auskunft des Anbieters – ebenfalls alle proALPHA-Versionen betroffen. Vom Anbieter gibt es einen Supportartikel KB0010297, der aber nur für registrierte Kunden abrufbar ist. Wer die betreffende Software einsetzt, für den gibt der Hersteller folgende konkreten Handlungsanleitungen je proALPHA Version an:

• Kunden, die aktuell eine proALPHA Version kleiner 9 mit OpenEdge 11.7.x im Einsatz haben, wird zur Behebung der genannten Schwachstelle ein Update auf die OpenEdge Version 11.7.20 empfohlen.
• Versionen mit OpenEdge kleiner 11.7 (also 11.5.x, 11.6.x, …) werden leider nicht durch ein Service-Pack unterstützt und erfordern ein vollständiges "Technology Upgrade" (mehrere Tage Aufwand), welches beim Anbieter bestellt werden kann.
• Kunden mit proALPHA Versionen von 9.0.0 bis 9.3.3 bzw. OpenEdge 12.2.x führen eine Aktualisierung auf OpenEdge 12.2.16 durch.
• Kunden, die die proALPHA Version 9.4.0 bzw. OpenEdge 12.8.x installiert haben, aktualisieren ihr System auf OpenEdge 12.8.3.

Die Ausführung der Installationen auf die aktuellen OpenEdge Versionen seien derzeit nur im Downtime-Modus möglich, heißt es vom Hersteller. Den mir vorliegenden Informationen entnehme ich, dass die Planung und Durchführung der Updates durch ProALPHA aufwändiger ist und entsprechende Planung benötigt.

Update auf OpenEdge Version 11.7.20

OpenEdge Version 11.7.20 wurde wohl zum 15. August 2024 freigegeben, wobei die dort beseitigten Bugs in diesem Dokument beschrieben sind. Allerdings empfinde ich das Ganze als recht untransparent, wird im Supportbeitrag auf das Dokument OpenEdge Third-Party Vulnerabilities Fixed In OpenEdge LTS Update 11.7.20 verlinkt. Dort werden zwar gefixte Schwachstellen aufgelistet, die aber über Jahre zurückreichen. Der Anbieter gibt an, dass in OpenEdge 11.7.20, 12.2.16 und OpenEdge 12.8.3 folgende OpenEdge-Sicherheitsprobleme behoben seien:

• CVE-2024-7654: Unauthenticated Content Injection in OpenEdge Management web interface via ActiveMQ discovery service
• CVE-2024-7346: Client connections using default TLS certificates from OpenEdge may bypass TLS host name validation>
  CVE-2024-7345: Direct local client connections to MS Agents can bypass authentication
  OpenEdge Third-Party Vulnerabilities Fixed In OpenEdge LTS Update 11.7.20
  OpenEdge Third-Party Vulnerability Fixed in OpenEdge LTS Update 12.2.16
  OpenEdge Third-Party Vulnerability Fixed in OpenEdge LTS Update 12.8.3

Ist jemand von dieser Problematik aus dem Kreis der Blog-Leser betroffen? Gibt es da noch weiterführende Quellen, die den Sachverhalt etwas ausführlicher darstellen?

Ergänzung: Maurice P. von ProALPHA hat mir noch die Links zu den Supportbeiträgen mit den Korrekturen geschickt (danke dafür). Diese habe ich oben im Text nachgetragen. Kunden sollten inzwischen auch eine Mail mit Hinweisen, wie die Komponenten aktualisiert werden können, vom Anbieter erhalten haben und im Kundenbereich auf die entsprechenden Informationen zugreifen können.