Sicherheitshinweis: ProCall Client für Windows - Apache log4net Versionen vor 2.0.10

Veröffentlichungsdatum	29.11.2021
Referenz	PROCALL-1413
Kritikalität	CRITICAL
CVSS-Score	9.8

Beschreibung

Apache log4net Versionen vor 2.0.10 deaktivieren keine externen XML-Entitäten beim Parsen von log4net Konfigurationsdateien. Dies ermöglicht XXE-basierte Angriffe in Anwendungen, die von Angreifern kontrollierte log4net-Konfigurationsdateien akzeptieren. Diese Komponente wurde mit dem ProCall Client für Windows ausgeliefert, aber nur verwendet, wenn die Google Integration aufgerufen wurde.

Betroffene Versionen

Diese Schwachstelle betrifft alle bisher veröffentlichten Versionen
ProCall 6 Enterprise (EOL) und ProCall 7 Enterprise

7.0, 7.1, 7.2, 7.3 (alle Unterversionen)
6.0, 6.1, 6.2, 6.3, 6.4 (alle Unterversionen)

ProCall Business

21H2 <(Build 2.5248)

Workaround

Die Google Integration deaktivieren und die Datei "log4net.dll" aus den Client Installationsverzeichnissen entfernen.

Versionen mit Behebung des Problems

estos hat bereits Updates mit Behebungen der Schwachstelle veröffentlicht. Kunden und Partner können die Updates über die bekannten Kanäle beziehen und dem normalen Update-Prozess folgen.

ProCall 7 Enterprise ≥ 7.3.2.5199
ProCall 6 Enterprise ≥ 6.4.22.5302
ProCall Business 21H2 (Build 2.5248)

End-of-life

Haben Sie ältere estos Produktversionen im Einsatz, die nicht mehr unterstützt werden (End-of-Life ist erreicht), empfehlen wir aus Sicherheitsgründen dringend ein Update Ihrer Software auf die aktuellen Versionen.
Sicherheits-Patches werden regelmäßig nur für aktuelle Software-Versionen entwickelt und zur Verfügung gestellt.