wid-sec-w-2024-1912
Vulnerability from csaf_certbund
Published
2024-08-22 22:00
Modified
2024-08-22 22:00
Summary
SOS GmbH JobScheduler: Mehrere Schwachstellen
Notes
Das BSI ist als Anbieter für die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch dafür verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgfältig im Einzelfall zu prüfen.
Produktbeschreibung
Der JobScheduler ist eine Open-Source-Lösung für die Prozessautomatisierung auf Unternehmensebene.
Angriff
Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SOS GmbH JobScheduler ausnutzen, um Daten zu verändern, vertrauliche Informationen preiszugeben und einen Denial-of-Service-Zustand zu erzeugen.
Betroffene Betriebssysteme
- Sonstiges
- UNIX
- Windows
{
"document": {
"aggregate_severity": {
"text": "mittel"
},
"category": "csaf_base",
"csaf_version": "2.0",
"distribution": {
"tlp": {
"label": "WHITE",
"url": "https://www.first.org/tlp/"
}
},
"lang": "de-DE",
"notes": [
{
"category": "legal_disclaimer",
"text": "Das BSI ist als Anbieter f\u00fcr die eigenen, zur Nutzung bereitgestellten Inhalte nach den allgemeinen Gesetzen verantwortlich. Nutzerinnen und Nutzer sind jedoch daf\u00fcr verantwortlich, die Verwendung und/oder die Umsetzung der mit den Inhalten bereitgestellten Informationen sorgf\u00e4ltig im Einzelfall zu pr\u00fcfen."
},
{
"category": "description",
"text": "Der JobScheduler ist eine Open-Source-L\u00f6sung f\u00fcr die Prozessautomatisierung auf Unternehmensebene.",
"title": "Produktbeschreibung"
},
{
"category": "summary",
"text": "Ein entfernter, anonymer Angreifer kann mehrere Schwachstellen in SOS GmbH JobScheduler ausnutzen, um Daten zu ver\u00e4ndern, vertrauliche Informationen preiszugeben und einen Denial-of-Service-Zustand zu erzeugen.",
"title": "Angriff"
},
{
"category": "general",
"text": "- Sonstiges\n- UNIX\n- Windows",
"title": "Betroffene Betriebssysteme"
}
],
"publisher": {
"category": "other",
"contact_details": "csaf-provider@cert-bund.de",
"name": "Bundesamt f\u00fcr Sicherheit in der Informationstechnik",
"namespace": "https://www.bsi.bund.de"
},
"references": [
{
"category": "self",
"summary": "WID-SEC-W-2024-1912 - CSAF Version",
"url": "https://wid.cert-bund.de/.well-known/csaf/white/2024/wid-sec-w-2024-1912.json"
},
{
"category": "self",
"summary": "WID-SEC-2024-1912 - Portal Version",
"url": "https://wid.cert-bund.de/portal/wid/securityadvisory?name=WID-SEC-2024-1912"
},
{
"category": "external",
"summary": "JobScheduler Vulnerability Remediation Release 2.7.2 vom 2024-08-22",
"url": "https://kb.sos-berlin.com/display/PKB/Vulnerability+Remediation+Release+2.7.2"
},
{
"category": "external",
"summary": "JobScheduler Vulnerability Remediation Release 2.6.7 vom 2024-08-22",
"url": "https://kb.sos-berlin.com/display/PKB/Vulnerability+Remediation+Release+2.6.7"
},
{
"category": "external",
"summary": "JobScheduler Vulnerability Remediation Release 2.5.10 vom 2024-08-22",
"url": "https://kb.sos-berlin.com/display/PKB/Vulnerability+Remediation+Release+2.5.10"
},
{
"category": "external",
"summary": "JobScheduler Issue JS-2130 vom 2024-08-22",
"url": "https://change.sos-berlin.com/browse/JS-2130"
},
{
"category": "external",
"summary": "JobScheduler Issue JOC-1889 vom 2024-08-22",
"url": "https://change.sos-berlin.com/browse/JOC-1889"
}
],
"source_lang": "en-US",
"title": "SOS GmbH JobScheduler: Mehrere Schwachstellen",
"tracking": {
"current_release_date": "2024-08-22T22:00:00.000+00:00",
"generator": {
"date": "2024-08-23T09:36:17.623+00:00",
"engine": {
"name": "BSI-WID",
"version": "1.3.6"
}
},
"id": "WID-SEC-W-2024-1912",
"initial_release_date": "2024-08-22T22:00:00.000+00:00",
"revision_history": [
{
"date": "2024-08-22T22:00:00.000+00:00",
"number": "1",
"summary": "Initiale Fassung"
}
],
"status": "final",
"version": "1"
}
},
"product_tree": {
"branches": [
{
"branches": [
{
"branches": [
{
"category": "product_version_range",
"name": "\u003c2.7.2",
"product": {
"name": "SOS GmbH JobScheduler \u003c2.7.2",
"product_id": "T037040"
}
},
{
"category": "product_version",
"name": "2.7.2",
"product": {
"name": "SOS GmbH JobScheduler 2.7.2",
"product_id": "T037040-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:sos_gmbh:jobscheduler:2.7.2"
}
}
},
{
"category": "product_version_range",
"name": "\u003c2.5.10",
"product": {
"name": "SOS GmbH JobScheduler \u003c2.5.10",
"product_id": "T037041"
}
},
{
"category": "product_version",
"name": "2.5.10",
"product": {
"name": "SOS GmbH JobScheduler 2.5.10",
"product_id": "T037041-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:sos_gmbh:jobscheduler:2.5.10"
}
}
},
{
"category": "product_version_range",
"name": "\u003c2.6.7",
"product": {
"name": "SOS GmbH JobScheduler \u003c2.6.7",
"product_id": "T037042"
}
},
{
"category": "product_version",
"name": "2.6.7",
"product": {
"name": "SOS GmbH JobScheduler 2.6.7",
"product_id": "T037042-fixed",
"product_identification_helper": {
"cpe": "cpe:/a:sos_gmbh:jobscheduler:2.6.7"
}
}
}
],
"category": "product_name",
"name": "JobScheduler"
}
],
"category": "vendor",
"name": "SOS GmbH"
}
]
},
"vulnerabilities": [
{
"cve": "CVE-2024-42459",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen im JobScheduler der SOS GmbH. Diese Fehler in JS7 JOC Cockpit entstehen durch die Verwendung einer veralteten Version der Elliptic Library (6.5.5), die bekannte Schwachstellen enth\u00e4lt, die kryptographische Signaturen betreffen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um kryptografische Signaturen zu besch\u00e4digen, was zu unautorisiertem Zugriff und Datenmanipulation f\u00fchren kann."
}
],
"product_status": {
"known_affected": [
"T037040",
"T037041",
"T037042"
]
},
"release_date": "2024-08-22T22:00:00.000+00:00",
"title": "CVE-2024-42459"
},
{
"cve": "CVE-2024-42460",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen im JobScheduler der SOS GmbH. Diese Fehler in JS7 JOC Cockpit entstehen durch die Verwendung einer veralteten Version der Elliptic Library (6.5.5), die bekannte Schwachstellen enth\u00e4lt, die kryptographische Signaturen betreffen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um kryptografische Signaturen zu besch\u00e4digen, was zu unautorisiertem Zugriff und Datenmanipulation f\u00fchren kann."
}
],
"product_status": {
"known_affected": [
"T037040",
"T037041",
"T037042"
]
},
"release_date": "2024-08-22T22:00:00.000+00:00",
"title": "CVE-2024-42460"
},
{
"cve": "CVE-2024-42461",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen im JobScheduler der SOS GmbH. Diese Fehler in JS7 JOC Cockpit entstehen durch die Verwendung einer veralteten Version der Elliptic Library (6.5.5), die bekannte Schwachstellen enth\u00e4lt, die kryptographische Signaturen betreffen. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um kryptografische Signaturen zu besch\u00e4digen, was zu unautorisiertem Zugriff und Datenmanipulation f\u00fchren kann."
}
],
"product_status": {
"known_affected": [
"T037040",
"T037041",
"T037042"
]
},
"release_date": "2024-08-22T22:00:00.000+00:00",
"title": "CVE-2024-42461"
},
{
"cve": "CVE-2024-29857",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen im JobScheduler der SOS GmbH. Diese Fehler werden durch den unsachgem\u00e4\u00dfen Umgang mit manipulierten F2m-Parametern und der Ed25519-Signaturpr\u00fcfung in den Bouncy Castle-Bibliotheken verursacht, was zu einer Endlosschleife oder zu einer \u00fcberm\u00e4\u00dfigen CPU-Auslastung f\u00fchren kann. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Denial-of-Service-Zustand zu erzeugen."
}
],
"product_status": {
"known_affected": [
"T037041",
"T037042"
]
},
"release_date": "2024-08-22T22:00:00.000+00:00",
"title": "CVE-2024-29857"
},
{
"cve": "CVE-2024-30172",
"notes": [
{
"category": "description",
"text": "Es bestehen mehrere Schwachstellen im JobScheduler der SOS GmbH. Diese Fehler werden durch den unsachgem\u00e4\u00dfen Umgang mit manipulierten F2m-Parametern und der Ed25519-Signaturpr\u00fcfung in den Bouncy Castle-Bibliotheken verursacht, was zu einer Endlosschleife oder zu einer \u00fcberm\u00e4\u00dfigen CPU-Auslastung f\u00fchren kann. Ein entfernter, anonymer Angreifer kann diese Schwachstellen ausnutzen, um einen Denial-of-Service-Zustand zu erzeugen."
}
],
"product_status": {
"known_affected": [
"T037041",
"T037042"
]
},
"release_date": "2024-08-22T22:00:00.000+00:00",
"title": "CVE-2024-30172"
},
{
"cve": "CVE-2024-30171",
"notes": [
{
"category": "description",
"text": "Es besteht eine Schwachstelle im JobScheduler der SOS GmbH. Diese Fehler betrifft die Java TLS API und den JSSE Provider der Drittanbieterkomponente Bouncy Castle aufgrund eines zeitbasierten Seitenkanallecks w\u00e4hrend RSA-basierter Handshakes. Ein entfernter, anonymer Angreifer kann diese Schwachstelle ausnutzen, um vertrauliche Informationen preiszugeben."
}
],
"product_status": {
"known_affected": [
"T037041",
"T037042"
]
},
"release_date": "2024-08-22T22:00:00.000+00:00",
"title": "CVE-2024-30171"
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
- Confirmed: The vulnerability is confirmed from an analyst perspective.
- Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
- Patched: This vulnerability was successfully patched by the user reporting the sighting.
- Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
- Not confirmed: The user expresses doubt about the veracity of the vulnerability.
- Not patched: This vulnerability was not successfully patched by the user reporting the sighting.