1. Home
2. Support
3. Sicherheitshinweise

Sicherheitsbulletin

Patch zum Schutz vor Offenlegung von Informationen für lizenzierten Breeze 5-Server

Freigabedatum: 10. Oktober 2006

Kennung der Sicherheitslücke: APSB06-16

CVE-Nummer: CVE-2006-5200

Plattform: Alle Plattformen

Betroffene Software-Versionen

Lizenzierter Breeze 5.0-Server und lizenzierter Breeze 5.1-Server HINWEIS: Anwender von Breeze Hosted und Breeze 4.x sind von diesem Problem nicht betroffen.

Zusammenfassung

Aufgrund einer Schwachstelle beim Parsen der URL könnten sich Anwender unbefugten Zugriff auf die Inhalte von Dateien verschaffen, die sich auf dem Installationslaufwerk von Breeze befinden.

Lösung

Adobe empfiehlt Anwendern von Breeze, das bereitgestellte Patch wie folgt zu installieren.

1. Stellen Sie sicher, dass Breeze 5.1 SP2 (r. 168) installiert ist. Weitere Informationen zum Update auf Breeze 5.1 SP2 finden Sie auf der Seite „Breeze Updates“. Um festzustellen, ob Breeze 5.1 SP2 bereits installiert ist, gehen Sie zur Seite http://(Ihr Server)/version.txt und überprüfen Sie, ob der Text mit den folgenden Informationen übereinstimmt:
   • 5.1,168
   • Breeze 5.1 r. 168/c. 202261/b. Mon Feb 20 10:21:00 2006
   • Presenter r. 269
   • FCS r. QuickSilver Serv_2_0_r190
   • enterprise installer: Mon Feb 20 14:37:21 2006
   • Melden Sie sich wie gewohnt mit Ihrem Kennwort an.
     Wenn bei Ihnen version.txt mit den oben aufgeführten Informationen nicht identisch ist, wenden Sie sich an den Support von Breeze, bevor Sie mit dem Upgrade fortfahren. Wenn Sie mit dem Upgrade fortfahren, obwohl Sie über eine andere Version von Breeze verfügen, kann dies dazu führen, dass Ihre Installation nicht mehr funktionsfähig ist.
2. Laden Sie die Patch-*Datei herunter.
3. Beenden Sie sämtliche Breeze-Dienste.
4. Sichern Sie die bestehenden Verzeichnisse breeze\appserv und breeze\comserv.
5. Fügen Sie diesen Index mithilfe eines Tools wie Query Analyzer zur Breeze-Datenbank hinzu. Wenden Sie sich an den Kundendienst von Breeze, wenn Sie eine eingebettete Breeze-Datenbank verwenden oder wenn Sie keine Erfahrung mit dem Query Analyzer haben:
   CREATE INDEX PPS_TRANSCRIPTS_TICKETS ON PPS_TRANSCRIPTS (TICKET);
6. Löschen Sie das gesamte Verzeichnis: breeze\appserv\lib\patch
7. Kopieren Sie die Datei Breeze_51SP2_updater.zip in Ihr \breeze-Verzeichnis.
8. Extrahieren Sie die Datei Breeze_51SP2_updater.zip in das Verzeichnis (wenn Sie Winzip verwenden, benutzen Sie die Option „Extrahieren nach hier“) und stellen Sie sicher, dass Dateien überschrieben werden. Wenn Dateien gesperrt sind, deaktivieren Sie alle Breeze-Dienste, starten Sie den Server neu und versuchen Sie den Vorgang erneut. Alle Dateien müssen überschrieben werden. Vergessen Sie nicht, die Dienste wieder zu aktivieren, sobald der Vorgang abgeschlossen ist.
9. Starten Sie die Breeze-Dienste neu.
10. Stellen Sie sicher, dass http://(Ihr Server)/version.txt den folgenden Informationen entspricht:
    • 5.1,172
    • Breeze 5.1 r. 172a/c. 244132/b. Tue Oct 03 20:06:48 2006 (BEET patch 59)
    • Presenter r. 269
    • FCS r. QuickSilver Serv_2_0_r207
    • patch: breeze_510_r172a_bug_173630.jar (bugs 173630, 173668)
    • patch: breeze_510_172a_bug_172161.jar (bug 172161)
    • patch: breeze_510_r172a_bug_167213.jar (bug 167213)
    • patch: breeze_params_patch.jar (bug 174065)
    • patch: breeze_510_r172a_bug_145952.jar (bug 145952)
    • patch: de.xml, fr.xml, ko.xml, ja.xml (bug 175336)
    • patch: breeze_510_r172a_revert_bug_131216.jar (rolling back bug 131216 fix, fix for bug 173287)
    • patch: breeze_510_172a_bug_179078.jar (bug 179078)
    • patch: breeze_510_r172a_bug_138998.jar (bug 138998)
    • patch: breeze_510_r172a_bug_177741.jar, events/feature.xml (bug 177741)
    • patch: breeze_510_r172a_bug_180759.jar (bug 180759)
    • patch: breeze_510_r168_bug_184118_184182.jar (bugs 184118, 184182)
      Wenn bei Ihnen version.txt nicht den oben aufgelisteten Einträgen entspricht, überprüfen Sie noch einmal die Schritte 6 und 7.

Schweregrad

Adobe stuft dieses Problem als wichtig* ein. Die Installation des Updates wird allen betroffenen Anwendern empfohlen.

Details

Aufgrund einer Schwachstelle beim Parsen der URL könnten sich Anwender unbefugten Zugriff auf die Inhalte von Dateien verschaffen, die sich auf dem Installationslaufwerk von Breeze befinden. Diese Schwachstelle kann durch externe Exploits ausgenutzt werden.

Danksagung

Adobe bedankt sich bei Belsasar Lepe von Google für das Melden dieser Sicherheitslücke und den Beitrag zum Schutz der Sicherheit unserer Kunden.

Adobe-Haftungsausschluss

Lizenzvereinbarung

Durch die Nutzung der Software von Adobe Systems Incorporated oder seiner Tochtergesellschaften („Adobe“) erklären Sie sich mit den im Folgenden genannten Nutzungsbedingungen einverstanden. Setzen Sie die Software nicht ein, wenn Sie die Vertragsbedingungen nicht akzeptieren. Falls beim Download oder der Installation einer Programmdatei eine Lizenzvereinbarung für Endanwender mitgeliefert wurde, ersetzt diese die nachfolgend aufgeführten Nutzungsbedingungen.

Die Ausfuhr und Wiederausfuhr von Adobe-Software-Produkten unterliegen den United States Export Administration Regulations (Exportbestimmungen der Vereinigten Staaten). Die Software darf nicht in die folgenden Länder ausgeführt oder wiederausgeführt werden: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Darüber hinaus darf Adobe-Software nicht an Personen weitergegeben werden, die in folgenden Dokumenten geführt werden: Table of Denial Orders, Entity List, List of Specially Designated Nationals.

Wenn Sie ein Adobe-Software-Produkt herunterladen, erklären Sie damit, dass Sie kein Staatsangehöriger eines der folgenden Länder sind: Kuba, Iran, Irak, Libyen, Nordkorea, Sudan, Syrien oder ein anderes Land, für das ein Handelsembargo der Vereinigten Staaten besteht. Sie erklären außerdem, dass Ihr Name nicht in den folgenden Dokumenten geführt wird: Table of Denial Orders, Entity List, List of Specially Designated Nationals.

Wenn die Software zum gemeinsamen Einsatz mit einer Software-Anwendung („Host-Anwendung“) von Adobe konzipiert wurde, gewährt Ihnen Adobe eine nicht-exklusive Lizenz zur ausschließlichen Verwendung der Software gemeinsam mit der Host-Anwendung, vorausgesetzt, Sie besitzen eine gültige Lizenz von Adobe für die Host-Anwendung. Mit Ausnahme der im Folgenden genannten Fälle unterliegt die Lizenzierung dieser Software den Bedingungen der Adobe-Lizenzvereinbarung für Endanwender, die die Nutzung der Host-Anwendung regelt.

HAFTUNGSSAUSSCHLUSS: SIE BESTÄTIGEN, DASS ADOBE IHNEN HINSICHTLICH DER SOFTWARE KEINE SPEZIELLE ZUSICHERUNG GEMACHT HAT UND DIE SOFTWARE IHNEN IM VORLIEGENDEN ZUSTAND ZUR VERFÜGUNG GESTELLT WIRD. ADOBE SCHLIESST JEGLICHE GARANTIEGEWÄHRLEISTUNG IHNEN GEGENÜBER AUS. ADOBE GEWÄHRT KEINE GARANTIEN, WEDER AUSDRÜCKLICHER NOCH STILLSCHWEIGENDER NATUR, HINSICHTLICH MARKTGÄNGIGKEIT, BRAUCHBARKEIT FÜR EINEN BESTIMMTEN ZWECK, MARKTÜBLICHER QUALITÄT ODER NICHTVERLETZUNG VON VERTRÄGEN MIT DRITTEN. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss für stillschweigende Gewährleistungen nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.

HAFTUNGSBESCHRÄNKUNG: ADOBE ÜBERNIMMT KEINE HAFTUNG FÜR NICHT-EINSETZBARKEIT, DIE UNTERBRECHUNG DER GESCHÄFTSTÄTIGKEIT ODER ANDERE VERLUSTE JEGLICHER ART INFOLGE VON DIREKTEN, INDIREKTEN, ZUFÄLLIGEN ODER BESONDEREN FOLGESCHÄDEN (EINSCHLIESSLICH ENTGANGENER GEWINNE), UNABHÄNGIG DAVON, WELCHE AKTIONEN GETÄTIGT WURDE UND OB ES SICH UM EINE VERTRAGS- UND LIZENZGEMÄSSE ODER UM UNERLAUBTE NUTZUNG (EINSCHLIESSLICH FAHRLÄSSIGKEIT) HANDELTE, SELBST WENN ADOBE AUF DIE MÖGLICHKEIT SOLCHER SCHÄDEN HINGEWIESEN WURDE. Da in einigen Staaten oder Gerichtsbarkeiten ein Haftungsausschluss oder eine Haftungsbeschränkung für zufällige oder Folgeschäden nicht zulässig ist, treffen die oben genannten Einschränkungen unter Umständen nicht auf Sie zu.