Kritische Sicherheitslücke Apache Text4Shell – FTAPI reagiert
Aktualisiert am 26.10.2022 – 09:15 Uhr
Mittlerweile hat sich der Name Text4Shell für die Apache Sicherheitslücke durchgesetzt (vorher Text2Shell). Wir haben unseren Blogartikel dahingehend angepasst.
Da die Sicherheitslücke mehr und mehr ausgenutzt wird, empfehlen wir unseren OnPremise Kunden dringend, den Patch 4.17.2 umgehend einzuspielen, falls noch nicht geschehen. Dieser schließt die Sicherheitslücke. Eine ausführliche Update-Anleitung finden Sie hier. Bitte berücksichtigen Sie alle beschriebenen Schritte, da es sonst zu Problemen während des Updates kommen kann. Zudem empfehlen wir Ihnen, sowohl den Server als auch die Desktop App zu aktualisieren. Sollte ein Update nicht möglich sein oder sollten Sie Fragen haben, melden Sie sich gerne unter support@ftapi.com.
Aktualisiert am 19.10.2022 – 10:30 Uhr
Für die Sicherheitslücke Text4Shell haben wir mit dem Patch-Release 4.17.2 bereits gestern ein entsprechendes Sicherheitsupdate für Server und Clients bereit gestellt. Heute folgt das Sicherheitsupdate für den FTAPI Process Client: Download Version 2.9.0. Wir empfehlen Ihnen dringend, Ihren FTAPI Process Client unabhängig von der aktuellen Version zu aktualisieren.
18.10.2022 – 10:30 Uhr
Im Projektcode von Apache Commons Text hat die Apache Foundation eine Sicherheitslücke namens Text4Shell (CVE-2022-42889) entdeckt. Die Sicherheitslücke ermöglicht es Angreifern, eigenen Code auf den betroffenen Servern und Clients auszuführen.
Derzeit ist noch nicht bekannt, ob auch FTAPI von der Sicherheitslücke betroffen ist. Da FTAPI dies jedoch nicht ausschließen kann, haben wir bereits gestern umgehend reagiert und mit Version 4.17.2 einen Patch bereitgestellt, der die Sicherheitslücke schließt.
Über aktuelle Entwicklungen halten wir halten Sie über unsere Newsletter und diesen Blog-Beitrag auf dem Laufenden.
Kein Handlungsbedarf für unsere OnDemand Kunden
Als FTAPI OnDemand Kunde müssen Sie sich keine Sorgen machen. Unsere Entwicklung hat gestern bereits mit Hochdruck an einem Sicherheitsupdate gearbeitet und den Patch 4.17.2, der die Sicherheitslücke schließt, auf den ersten OnDemand Systemen eingespielt. Alle weiteren OnDemand Systeme folgen heute Abend gegen 17.00 Uhr. Die notwendigen Informationen dazu erhalten Sie als Administrator Ihres FTAPI im Laufe des Tages per E-Mail.
Handlungsempfehlungen für OnPremise-Kunden
Um die Sicherheitslücke schnellstmöglich zu schließen, empfehlen wir unseren OnPremise Kunden dringend, den Patch 4.17.2 umgehend einzuspielen.
Das Sicherheitsupdate finden Sie hier. Zusätzlich haben wir hier eine ausführliche Update-Anleitung für Sie zusammengestellt. Bitte berücksichtigen Sie alle beschriebenen Schritte, da es sonst zu Problemen während des Updates kommen kann. Zudem empfehlen wir Ihnen, sowohl den Server als auch die Desktop App zu aktualisieren. Sollte ein Update nicht möglich sein oder sollten Sie Fragen haben, melden Sie sich gerne unter support@ftapi.com
Weitere Informationen zu Text4Shell finden Sie hier: https://nvd.nist.gov/vuln/detail/CVE-2022-42889