Dringende Sicherheitsinformation
S-2021-01
Sicherheitsupdate S-2021-01
In der baramundi Management Suite (bMS) wurden bei internen Security-Tests zwei kritische Sicherheitslücken gefunden.
Durch die Sicherheitslücken ist für einen angemeldeten Benutzer des baramundi Management Center eine Rechteausweitung möglich. Ebenso ist ein DoS-Angriff denkbar.
Diese Sicherheitslücken wurden von baramundi analysiert und die damit verbundene Gefährdung der baramundi Management Suite insgesamt als kritisch eingestuft. Wir empfehlen dringend die Lücken mit dem bereitgestellten Security-Update zu schließen.
Schweregrad
- Kritisch, CVSS Bewertung (durch baramundi): 9.0
Betroffene Produkte
Die Versionen der baramundi Management Suite ab 2017 R1 sind betroffen.
Details
Dieses FixIt behebt die nachfolgend beschriebenen Probleme:
Für Version 2020 R1
- Sicherheit: bMC-User kann erhöhte Rechte erlangen.
- Behebt das Anzeigeproblem, dass beim bMC-Logon fälschlicherweise ein Warndialog mit dem Hinweis auf einen Lizenzverstoß angezeigt wird, obwohl die maximale Anzahl lizenzierter Clients lediglich erreicht, nicht aber überschritten wurde.
Für Version 2020 R2 U1
- Sicherheit: bMC-User kann erhöhte Rechte erlangen.
- Die Tempdb Systemdatenbank der SQL-Server-Instanz vergrößert sich um ein vielfaches, wenn über Microsoft Update verwalten eine Inventur durchgeführt wird.
Für Version 2021 R1
- Sicherheit: bMC-User kann erhöhte Rechte erlangen.
- Die Tempdb Systemdatenbank der SQL-Server-Instanz vergrößert sich um ein vielfaches, wenn über Microsoft Update verwalten eine Inventur durchgeführt wird.
- Bei der OS-Installation werden u.U. falsche DIP-Server verwendet, nachdem auf den neuen CIDR-Modus umgestellt wurde.
Vorgehen zur Behebung der Schwachstelle
baramundi stellt das FixIt-2021-S1 zur Verfügung. Dieses FixIt Tool muss auf dem baramundi Master Server, sowie dem baramundi Gateway und mindestens einer bMC-Installation ausgeführt werden. Für weitere bMC-, PXE- und bRemote- Installationen kann dies per MSW Update Job erfolgen.
- Download der letzten MSW Definitionen und daraus resultierenden ausstehenden Downloads.
- Alle baramundi Serverdienste (bServer, bGateway) auf den Systemen beenden, auf welchem das FixIt ausgeführt werden soll.
- Alle Programme der baramundi Management Suite (bMC, bRemote) auf den Systemen beenden, auf welchem das FixIt ausgeführt werden soll. (Hinweis: Zur Sicherheit dies im Taskmanager der Betriebssystems kontrollieren.)
- Auf dem System das Archiv FixIt-2021-S1.zip entpacken.
- FixIt-2021-S1.exe mit höheren Rechten starten.
- Das Tool prüft ob, die korrekte bMS Version 2021 R1, 2020 R2 U1 oder 2020 R1 installiert ist und bietet in diesem Fall an, Dateien im bMS-Installationsverzeichnis zu tauschen.
- Schritte 2. bis 6. auf dem Gateway (sofern vorhanden) und min. einer baramundi Mangement Center (sofern nicht auf Master Server) Installation wiederholen.
- Die notwendige Aktualisierung der bMC steht auch als MSW-Paket zur Verfügung und kann per MSW-Update verteilt werden. (alternativ kann auch das FixIt-Tool manuell - wie in Schritt 2. bis 6. beschrieben - verwendet werden).
- Die notwendige Aktualisierung der bRemote Viewer (Standalone) steht als MSW-Paket zur Verfügung und kann per MSW-Update verteilt werden.
- Die notwendige Aktualisierung des PXE-Relay steht auch als MSW-Paket zur Verfügung und kann per MSW-Update verteilt werden. (alternativ kann auch das FixIt-Tool manuell - wie in Schritt 2. bis 6. beschrieben - verwendet werden).
- Nur für Version 2021 R1: Ein neues WinPE-Image muss erstellt werden (für die DIP Verwendung nach CIDR Umstellung).
Sollte das Update per FixIt-Tool fehlschlagen oder nicht alle Dateien erfolgreich ausgetauscht werden, können Sie die Dateien auch manuell aus dem zu Ihrer Version der bMS passenden Ordner in das Installationsverzeichnis der bMS kopieren.
Wichtiger Hinweis (06.09.2021)
Es gibt keinen Handlungsbedarf, den baramundi Master Server durch das Setup (aus den MSW Quellen) manuell upzudaten. Sollte das Setup dennoch aus MSW manuell auf dem baramundi Master Server ausgeführt werden, so entstehen technisch bedingte Folgefehler wie bspw. dass diese Umgebung dann eine neue Agentsetup-Version fordert. Diese Version auf dem baramundi Master Server zu verwenden ist ein nicht freigegebener Zustand einer baramundi Management Suite Umgebung. > Auf dem baramundi Master Server nur das FixIt ausführen und keine Serverinstallation durchführen.
Kompatibilität
Für Version 2020 R1
- Der Hotfix 20.1.214_bmc_hotfix.zip ist in diesem FixIt-Tool bereits enthalten und darf nicht mehr verwendet werden.
- Die weiteren Hotfixes der 20 R1 inklusive der Sicherheitsfixes S-2020-01 und S-2020-02 sind nicht enthalten und müssen weiterhin separat eingespielt werden.
Für Version 2020 R2 U1 und 2021 R1
- Das FixIT-2021-S1 ist kumulativ zu FixIt-2021-01 - FixIt-2021-01 darf nicht mehr verwendet werden.
Anmerkungen
Die Versionsnummern und Hashes (SHA256) der Dateien sind am Ende des Beitrags gelistet.
Versionsnummern und Hashes (SHA256)
FixIt Tool
| Filename | Version | SHA256 Hash |
| \FixIT-2021-S1.exe | 21.1.232 | 838017A8ABC49F257FDF916A16E08A4436CC60701B15A643125B2537AAC3D42F |
bMS 2020 R1
| Filename | Version | SHA256 Hash |
| \2020R1\SecurityFix\x64\Baramundi.Bms.Common.dll | 20.1.285.0 | FE74AF88BE5713AFCD18AB40D3945188DE600BF6B55E75AEA49DFF1125FA5AC1 |
| \2020R1\SecurityFix\x86\Baramundi.Bms.Common.dll | 20.1.285.0 | A531BE210E7F8DF57A050BC3C6A39AD29A8B7E7DBCA8057DDF05DFC420CC7250 |
| \2020R1\SecurityFix\x86\bGateway.exe | 20.1.285.0 | 1DA6E579D3BDEBE57EA95D99B0B26C5F0EDF3C4F1400C7BD1478E020C78D01BF |
| \2020R1\SecurityFix\x86\bMC.exe | 20.1.285.0 | FB3052CEA362C61AC70B134F7BB3620DABEFFB836A993C7655BF75E2208B2BD8 |
| \2020R1\SecurityFix\x86\bServer.exe | 20.1.285.0 | 3F8BD21759E49B371D541CE620D78A6E47F8DAEB3272904DB6D158E8F8E5745C |
bMS 2020 R2 U1
| Filename | Version | SHA256 Hash |
| \2020R2U1\20.2.552\bServer_MicrosoftUpdateManagement.exe | 20.2.552.0 | F23109BC6E6E6DF0143014C1488E00A34C747AE0B6E1C33E6D35DE3AD7C1DDCE |
| \2020R2U1\SecurityFix\x64\Baramundi.Bms.Common.dll | 20.2.561.0 | A63A5D152D0FEE14056CE9B44CD44F4968B4905ADC0A07256D1ADCA4C4D08728 |
| \2020R2U1\SecurityFix\x86\Baramundi.Bms.Common.dll | 20.2.561.0 | 911F386A0C1991672D22184F987923FBCD06F3D0E5E83383502A9C4D44E7B220 |
| \2020R2U1\SecurityFix\x86\bGateway.exe | 20.2.561.0 | 6DCBBF206AFF63F2539E7B4FF79AF5CD84B865233006D85594F48DA72AE16234 |
| \2020R2U1\SecurityFix\x86\bMC.exe | 20.2.561.0 | 41652F8E7F67E511382115DD01095CC3D99E32CFC59E8335C5C8A2BE63B5120C |
| \2020R2U1\SecurityFix\x86\bServer.exe | 20.2.561.0 | C6039642D5E58B1B72CCE840DF6332A60EE1B30DA8FE0FDADD1B033CF1CF85D7 |
bMS 2021 R1
| Filename | Version | SHA256 Hash |
| \2021R1\21.1.237\bServer_MicrosoftUpdateManagement.exe | 21.1.237.0 | 39D21E51B59301FDCE80CC5278FB49CE746940C58DE5FD62BD87718BBAC71514 |
| \2021R1\CIDRFix\x64\baracmn.dll | 21.1.245 | 6FEC85563FFBFB302C099CF206FA89F884A75385340536D7FEBE8BF9ED074A5C |
| \2021R1\CIDRFix\x64\BootClient.exe | 21.1.245 | 2AAC67B38AAAE8314A45DC1C7DAB9A2E4D886EBD59B944AF9CDFAFDEB88971F7 |
| \2021R1\CIDRFix\x86\baracmn.dll | 21.1.245 | CBD0B74BAA6616727997D8B1D7A6A3BA8C8ED5323718E6EA9DC392FD06B7E009 |
| \2021R1\CIDRFix\x86\BootClient.exe | 21.1.245 | 05685FF87567A499DC6A67EADF461B00C1529E86DD09C5CF5AC1DF7F64A61A3F |
| \2021R1\CIDRFix\x86\WebServer.dll | 21.1.245 | B895160DBA16B5BF27827320F6EF4B6979A365E6FA9D248030319C1D1594E2FA |
| \2021R1\SecurityFix\x64\Baramundi.Bms.Common.dll | 21.1.253.0 | FEB6F361B10F356CC55BE407D88A9424F248E4EECFE4DA2444B751EF8B2BE685 |
| \2021R1\SecurityFix\x86\Baramundi.Bms.Common.dll | 21.1.253.0 | DBB8E6AD2046FF3F27A25E793A8A2AD990965474D5C6669F389D0CB35FFF6188 |
| \2021R1\SecurityFix\x86\bGateway.exe | 21.1.253.0 | E6F3BEAEBBD19D0D94A3C47CB37B7C543374DC8E10A09B51953E877CE1693241 |
| \2021R1\SecurityFix\x86\bMC.exe | 21.1.253.0 | 367EDAA4ECFBD15E307E52286D734E52ABD39278665BF5733EF6A01F82A56AE1 |
| \2021R1\SecurityFix\x86\bServer.exe | 21.1.253.0 | 4B5CD9035D62DB0CCF54CDACDFDF7E7C46789E4F3EB906C3D35911347DB63368 |
