[English]Achtung für Nutzer von Progress OpenEdge / Proalpha ER. In der Software Progress OpenEdge wurde kritische Sicherheitslücke CVE-2025-7388 entdeckt, die eine Ausführung von Code über Java RMI im administrativen Kontext ermöglicht. Betroffen sind OpenEdge 12.x und Proalpha 9.x. Es besteht Handlungsbedarf.
Hier die Originalmeldung, die mir von Blog-Leser Stefan K. zuging (danke dafür).
Sehr geehrte Damen und Herren,
es wurde eine kritische Sicherheitslücke in Progress OpenEdge entdeckt, die das Proalpha ERP betrifft und Ihre Aufmerksamkeit sowie Handlungsbedarf erfordert.
Um die kritische Sicherheitslücke nachhaltig zu schließen, folgen Sie bitte der nachfolgenden Anleitung.
1. Executive Summary
- Risiko: Angreifer können unbefugt Code auf dem Proalpha-Server ausführen und damit Systeme kompromittieren.
- Handlungsbedarf: Absicherung der Proalpha-Server über die lokale Windows-Firewall ist erforderlich.
- Unterstützung: Detaillierte Anleitungen stehen in unserer Knowledge Base bereit.
- Dringlichkeit: Bitte planen Sie die Umsetzung zeitnah, um die Sicherheit Ihrer Systeme weiterhin zu gewährleisten.
2. Detailinformationen für IT-Verantwortliche
Betroffene Schwachstelle:
- CVE-2025-7388 – Ausführung von Code über Java RMI im administrativen Kontext
Betroffene Komponenten und Versionen:
- OpenEdge 12.x / Proalpha 9.x
Weitere Informationen und Umsetzungshilfen:
- Proalpha 9.x: KB0095389
- In dem Knowledge-Base-Artikel finden Sie:
-
- die erforderliche Konfiguration der Windows-Firewall,
- einen PowerShell-Befehl für die schnelle Konfiguration der Windows-Firewall
- Nach der Konfiguration ist aus dem Unternehmensnetzwerk kein Zugriff auf das Java-RMI-Modul mehr möglich. Damit besteht keine konkrete Gefahr einer unbefugten Codeausführung. Proalpha wird in seiner Funktion dadurch nicht eingeschränkt!
- Falls Sie Unterstützung bei der Konfiguration der Windows Firewall benötigen, eröffnen Sie bitte eine kostenpflichtigen Request über den Katalog im Kundenportal bzw. wenden Sie sich an Ihren Partner/Systembetreuer.
- Bei unseren Cloud-Kunden wurden die Firewall Maßnahmen vom Cloud-Operations Team bereits proaktiv umgesetzt.
- Kunden im Update müssen die Maßnahmen in alter und neuer Proalpha Version umsetzen.
3. Weitere Maßnahmen
- Für OpenEdge 12.x / Proalpha 9.x werden zusätzliche Sicherheitspatches (OpenEdge Servicepack 12.2.18 und 12.8.9) bereitgestellt. Deren Installation wird dringend empfohlen.
- Generell empfehlen wir immer die Nutzung des aktuell freigegebenen OpenEdge Servicepacks.
- Sie können bereits jetzt die Bestellung der Progress Service-Pack Installation über den Katalog im Kundenportal beauftragen bzw. sich an Ihren Partner/Systembetreuer wenden. Wir planen diese gemeinsam mit Ihnen ein.
- Sie finden die OpenEdge Servicepack Downloads neben einer Installationsanleitung in KB0010297.
News in my proALPHA öffnen: hier klicken
Mit freundlichen Grüßen
Ihr Proalpha Team
MVP: 2013 – 2016
Als Workaround kann man den Dienst per Windows Firewall abschirmen bis Updates eingespielt werden können. Per Powershell:
New-NetFirewallRule -DisplayName "Proalpha – Block AdminServer 20931 – 20937" -Direction Inbound -Protocol TCP -LocalPort 20931-20937 -Action Block -Profile Any