[English]Kurzer Hinweis für Administratoren, die den Load-Balancer LoadMaster von Progress Kemp verwenden. Der Anbieter hat zum 7. Februar 2024 diverse Updates der Firmware für seinen LoadMaster bereitgestellt. Diese sollten unverzüglich eingespielt werden. Ergänzung: Information zur Schwachstelle CVE-2024-1212 in Progress Kemp LoadMaster zum 21.2.2024 ergänzt.
Anzeige
Von Progress Kemp gibt es den Load-Balancer LoadMaster, der einen Lastenausgleich bereitstellen soll. In seiner einfachsten Form bietet ein Load Balancer die Möglichkeit, Anwendungsbenutzer an den leistungsstärksten und zugänglichsten Server weiterzuleiten.
Hier der Link für das LoadMaster Firmware Release 7.2.54.8 LTSF. Durch die Updates – nur Kunden zugänglich – sollte das Produkt die nachfolgenden Patch-Versionsstände aufweisen:
- 7.2.59.2 (GA)
- 7.2.54.8 (LTSF)
- 7.2.48.10 (LTS)
- 7.2.59.6+ (NG Hardware)
Ich kann die Details aktuell nicht offen legen, da noch bis zum 21. Februar 2024 confidential.
CVE-2024-1212 in Progress Kemp LoadMaster
Nachtrag: Progress Kemp wurde wohl Anfang Februar 2024 über eine kritische Sicherheitslücke CVE-2024-1212 für LoadMaster v7.2.48.1 und neuer informiert und konnte dies bestätigen. Eine Liste der Schwachstellen im LoadMaster mit Revisionsstand 21. Februar 2024 findet sich hier.
Anzeige
Nach der mir vorliegenden Information haben nicht authentifizierte, Remote-Angreifer, die Zugriff auf die Verwaltungsschnittstelle von LoadMaster haben, die Möglichkeit, einen sorgfältig gestalteten API-Befehl auszugeben, der die Ausführung beliebiger Systembefehle ohne Authentifizierung ermöglicht.
Obwohl es bei LoadMaster schon immer die beste Praxis war, eine dedizierte Netzwerkschnittstelle als Verwaltungsschnittstelle zu verwenden (die das UI und die API beherbergt) und den Zugriff auf diese Schnittstelle nur auf vertrauenswürdiges Personal zu beschränken, ist dies möglicherweise nicht in allen Kundenkonfigurationen der Fall.
Um von den neuesten Sicherheitsverbesserungen zu profitieren, müssen die Kunden den Sicherheitspatch für eine der oben aufgeführten Progress Kemp LoadMaster Versionen installieren.
Anzeige
Da kann sich Anydesk mal ne Scheibe abschneiden. Wir haben als Kunde die Mail auch erhalten, auch mit dem Hinweis confidential. So haben wir die Möglichkeit, die Kisten zu patchen, bevor es öffentlich wird. So sieht gute Kundenbeziehung aus. Und doch einige Tage Vorlaufzeit bekommen.
Wie Du, Markus, haben wir die Mail auch bekommen. Mit der Veröffentlichung in diversen Blogs hat es sich mit "Confidential" natürlich erledigt. Schade!
Sollte da man nicht bzgl. des confidential differenzieren? Dass es den Patch gibt, gehört angekündigt. Was genau dahinter steckt, bleibt bis zum genannten Datum vertraulich. Dann kann gepatcht werden.
Und der Hersteller hat es seinen Kunden angekündigt.
Direkt in der Headline steht aber auch: "Please keep this information confidential until then." (February 21, eigene Anmerkung)
Ich würde hier aus dem Anydesk Informationsdefizit es so bewerten: bin ich betroffener Kunde des Produkts (Kemp)und habe diese Info evtl. nicht erhalten oder nicht gelesen ?
Ich bekomme hier im Blog Info, das eine Sicherheitslücke vorhanden ist und kann mich schlauch machen und gegensteuern. Die Details haben Günther und ich ja nicht öffentlich gemacht.
Anydesk=keine Information, Kunde kann nicht prüfen oder etwas unternehmen. Kemp Info (per Mail und Info im Blog)>Kunde kann gegensteuern. Der Blog hier ist ja schon erste Anlaufstelle, was Sicherheitslücken anbelangt. Somit finde ich die Info von Günther in der Weise (ohne Details) angebracht. Wie "Enno" weiter unten schreibt, hat er ja auch die aus dem Blog bezogen.
Sogar der Free Loadbalancer ist schon auf der aktuellen Version zum Download.
Danke für die Info hier, die Mail von Progress hat's in den Spam geschafft und da schaue ich eigentlich abends nicht mehr rein 🧐
Vielen Dank für die Info Günter! Haben direkt aktualisiert. Ohne die Info im Blog hier hätten wir es nicht mitbekommen.
Wir haben beim Kunden nach dem Update nur das Problem, dass die Real Server von VS zwar disabled, aber nicht wieder enabled werden können.
KEMP ist aber dran, die waren innerhalb von 30 Minuten an einer remote session, …
Im Gegensatz zu manch anderem Support (z.B. Fortinet, wo es nur um's Abwimmeln geht) ist der von KEMP vorbildlich.
Uns ist heute aufgefallen, dass bei dem Update von 7.2.59.1 auf 7.2.59.2 die ACL eines Virtual Services verloren ging.
Glücklicherweise haben wir vor dem Update ein Backup der Config gemacht. Nach einem Restore der VS Config war die ACL wieder da.
Wer auch mit ACLs arbeitet sollte diese bei sich nach dem Update kontrollieren.