Sicherheitshinweis: Microsoft WiX-Installer-Toolset

Beschreibung

Die WiX-Funktion RemoveFolderEx erlaubt es, bei Nutzung durch Nutzer mit eingeschränkten Rechten mittels Directory Junctions geschützte Verzeichnisse zu löschen, wenn Administratoren den Installer ausführen (CVE-2024-29188).

Die Verwendung des unsicheren Verzeichnisses C:\Windows\Temp ermöglicht es Nutzern mit niedrigen Rechten, Binärdateien zu platzieren, die später mit SYSTEM-Rechten ausgeführt werden können (CVE-2024-29187).

Betroffene Versionen

Diese Schwachstelle betrifft alle bisher veröffentlichten Versionen der Installationsprogramme von ProCall 8 Enterprise und ProCall 7 Enterprise (nur Add-Ons) sowie MetaDirectory 6 Enterprise und ProCall Analytics 3

• ProCall Enterprise 8.x (alle Unterversionen)
  • Installationsprogramm UCServer und Add-Ons (nicht ProCall Client)
• ProCall Enterprise 7.x (nur Add-Ons) (alle Unterversionen)
  • Installationsprogramme der Add-Ons (nicht UCServer und nicht ProCall Client)
• MetaDirectory 6 Enterprise (alle Unterversionen)
  • Installationsprogramm
• ProCall Analytics 3
  • Installationsprogramm

Versionen mit Behebung des Problems

estos hat bereits Updates mit Behebungen der Schwachstelle veröffentlicht. Kunden und Partner können die Updates über die bekannten Kanäle beziehen und dem normalen Update-Prozess folgen.

• ProCall 8 Enterprise ≥ 8.4.1
• MetaDirectory Enterprise ab Version 6.1
• ProCall Analytics ab Version 3.1.0.8835

End-of-life

Haben Sie ältere estos Produktversionen im Einsatz, die nicht mehr unterstützt werden (End-of-Life ist erreicht), empfehlen wir aus Sicherheitsgründen dringend ein Update Ihrer Software auf die aktuellen Versionen.
Sicherheits-Patches werden regelmäßig nur für aktuelle Software-Versionen entwickelt und zur Verfügung gestellt.