BELANGRIJK – Kwetsbaarheid gevonden in Exact Synergy
Alle Exact Synergy klanten hebben van Exact Software vandaag een belangrijke email ontvangen met hierin informatie over een kwetsbaarheid binnen Synergy. Indien u gebruik maakt van Exact Synergy adviseren wij u onderstaande oplossing direct toe te passen!
In het Exact Synergy product wordt er gebruikt gemaakt van de 3de partij Telerik user interface technologie en componenten. Onlangs is er een kwetsbaarheid (CVE-2019-18935) gevonden in het Telerik framework. In bepaalde omstandigheden kan dit leiden tot schadelijke uploads van bestanden.
Daarom is het noodzakelijk snel actie te ondernemen om eventuele risico’s te beperken. Voor uw Exact Synergy omgeving zijn de volgende opties van toepassing:
- Allereerst raden wij u ten zeerste aan een update van uw Exact Synergy-omgeving naar het nieuwste servicepack 265 SP1, 264 SP8 of 263 SP15 uit te voeren. Met deze servicepacks wordt de kwetsbaarheid opgelost.
- Als u een Exact Synergy omgeving hebt met een release tussen 265 en 263, maar u kunt op korte termijn niet updaten naar het laatste service pack, dan is er een alternatief. In dat geval moet u een aanpassing maken in het web.config-bestand en de volgende coderegels toevoegen:
<appSettings>
<add key=“Telerik.Web.DisableAsyncUploadHandler” value=“true”/>
</appSettings>
LET OP: In sommige mailings vanuit Exact staat er een foutieve code. Bovenstaande code is correct! - Wanneer u werkt met een Exact Synergy-release van 262 of 261, raden wij u ten zeerste aan om een update uit te voeren naar één van de bovengenoemde versies / servicepacks uit optie 1. Als u niet kunt updaten, kan het alternatief van optie 2 worden geïmplementeerd.
- Indien de release van uw Exact Synergy omgeving 260 of lager is, is er geen Exact oplossing of alternatief beschikbaar om de kwetsbaarheid op te lossen en is eerst een update van de Exact Synergy omgeving naar een hogere release vereist.
- Een algemener technisch alternatief buiten de Exact-oplossing zou kunnen zijn om alle “POST” -aanvragen voor Telerik naar uw Synergy-omgeving (naar /Telerik.Web.UI.WebResource.axd) op de webserver, firewall (indien aanwezig) of load balancer (indien aanwezig) te blokkeren. De implementatie hiervan zult u dienen af te stemmen met uw IT systeem beheerder of IT partner.
Wanneer u hulp nodig heeft om bovenstaande te controleren en/of te verhelpen, kunt u altijd contact met ons opnemen:
support@exactly-it.nl of via ons algemene telefoonnummer: +31 544 846 154