Schwachstellenscan der K7-Anwendungen
Sehr geehrte Damen und Herren,
Sehr geehrte K7 Anwender und Anwenderinnen,
bei turnusmäßigen Schwachstellenscans der Finanz Informatik bzw. externer Dienstleister wurden zuletzt bei den K7-Modulen WANDO WebServer und WANDO MailServer Schwachstellen der Kritikalität 3, "mittel" festgestellt (Details zu den Scan-Ergebnissen finden Sie der Vollständigkeit halber am Ende dieser Nachricht).
Die festgestellten Risiken sind nun durch K7 Software-Updates beseitigt, die Sie ab sofort herunterladen und einspielen sollten.
Somit ist Ihr System wieder bestmöglich geschützt.
Für WANDO-Anwender, die die besagten Module aktuell nicht einsetzen, besteht kein Handlungsbedarf.
Bei der Durchführung des Updates untersützt Sie auf Wunsch selbstversändlich unsere Hotline im Rahmen der Softwarewartung (telefonisch unter 09131 / 4003-377 oder per E-Mail hotline@k7-it.de).
Die beiden Updates stehen für Sie unter folgendem Freigabelink bereit:
Die Freigabe ist mit einem Passwortschutz versehen:
PW: (erhalten Sie auf Anfrage von K7)
In den ZIP-Dateien befinden sich die kompletten Verzeichnisse "bin-mail64" und "bin-web64", die in Ihrem System-Verzeichnis .../ProgramFiles/server/ ausgetauscht werden müssen. Bitte sichern Sie vorher das alte Verzeichnis als Backup.
Vor dem Update muss der jeweilige Dienst gestoppt und nach dem Einspielen wieder gestartet werden.
Freundliche Grüße aus Erlangen,
Ihr K7-Team
Kennen Sie schon unser neues Service-Portal / Ticketsystem?
https://sp.k7-it.de/
https://sp.k7-it.de/
-----------------------
Scan-Ergebnisse
WANDO MailServer:
Your Mail Server responds to the EHLO command which implies that it uses the ESMTP protocol. ESMTP uses the AUTH command which indicates an authentication mechanism to the server. If the server supports the requested authentication mechanism, it performs an authentication protocol exchange to authenticate and identify the user. Optionally, it also negotiates a security layer for subsequent protocol interactions. Your server accepts PLAIN or LOGIN as one of the AUTH parameters. The authentication credentials are transmitted in plaintext over the network and no encryption is performed.
Kritikalität (1-5): 3
Auswirkung: Mailicious users could obtain mail server credentials by sniffing the traffic. This can allow unauthorized users to use the mail server as an open mail relay. It may also lead to compromise of account credentials that can be used to access other mail services like POP3 or IMAP.
WANDO WebServer:
Your Web server/application does not filter script embedding from links displayed on a server's Web site. A malicious user can exploit this vulnerability to cause JavaScript commands or embedded scripts to be executed by any user who clicks on the hyperlink. Upon clicking the hyperlink, your Web server will generate an error message including the specified or embedded script. The specified or embedded script is executed in the client's browser and treated as content originating from the target server returning the error message (even though the scripting may have originated from another site entirely).Note: Each report line represents a unique cross-site scripting on that page. The detection verifies if the scanner supplied data is returned in an un-sanitized manner by the web application. Customers are advised to verify if there are other security measures in place to make sure that this does not lead to an exploitation condition.
Kritikalität (1-5): 3
Auswirkung: By exploiting this vulnerability, malicious scripts can be executed in the client's browser.
Impressum
K7 IT-Solutions GmbH
Wetterkreuz 3
91058 Erlangen
Tel. 09131/4003-0
Fax 09131/4003-333
E-Mail: info@k7-it.de
Internet: www.k7-it.de
© 2024 K7 IT-Solutions GmbH
Wenn Sie Informationen dieser Art nicht mehr erhalten möchten, klicken Sie bitte hier und senden Sie uns eine formlose Mail mit Betreff "Technische Informationen abbestellen".
Darüber hinaus weisen wir im Sinne der Datenschutzgrundverordnung DSGVO auf Folgendes hin:
Sie erhalten diese technische Information, weil Sie Kunde von K7 sind. Ihre E-Mail-Adresse ist uns aus der Kundenbeziehung oder einem telefonischen oder persönlichen Kontakt bekannt.
Sie können der Verwendung Ihrer E-Mailadresse jederzeit widersprechen bzw. diese bei uns löschen lassen. Beachten Sie hierzu auch unsere Datenschutzerklärung.
Darüber hinaus weisen wir im Sinne der Datenschutzgrundverordnung DSGVO auf Folgendes hin:
Sie erhalten diese technische Information, weil Sie Kunde von K7 sind. Ihre E-Mail-Adresse ist uns aus der Kundenbeziehung oder einem telefonischen oder persönlichen Kontakt bekannt.
Sie können der Verwendung Ihrer E-Mailadresse jederzeit widersprechen bzw. diese bei uns löschen lassen. Beachten Sie hierzu auch unsere Datenschutzerklärung.