News vom 12.11.2024


Meinberg Security Advisory: [MBGSA-2024.07] LANTIME-Firmware V7.08.017

Die LANTIME-Firmware-Version 7.08.017 beinhaltet Sicherheits-Updates der Web-Benutzerschnittstelle und REST-API.

Meinberg empfiehlt eine Aktualisierung auf die Version 7.08.017 durchzuführen.

Einschätzung des Schweregrades bis einschließlich
  • LANTIME-Firmware-Version 7.08.016:
    Schweregrad kritisch (0), hoch (3), mittel (0), gering (0), info (0), unbekannt (0)
Aktualisierte Version:
  • LANTIME-Firmware: V7.08.017

  1. Beschreibung der Sicherheitsschwachstellen

    • Web-Benutzerschnittstelle:

      • NOCVE - Authenticated file path traversal (hoch)
        Einem authentifizierten Benutzer war es möglich, einen "file path traversal"-Angriff auf die Funktion "Import SyncMon data file" durchzuführen.

        Bereinigt ab:
        V7.08.017 MBGID-19745

    • REST-API:

      • NOCVE - Authenticated os command line injection ping/traceroute (hoch)
        Einem authentifizierten Benutzer war es möglich, Systembefehle über die "ping"- und "traceroute" Funktion der REST-API auszuführen.

        Bereinigt ab:
        V7.08.017 MBGID-19743

      • NOCVE - Authenticated formatted string vulnerability (hoch)
        Einem authentifizierten Benutzer war es möglich, sich durch eine "formatted string"-Schwachstelle Teile des Speicherinhalts anzuzeigen.

        Bereinigt ab:
        V7.08.017 MBGID-19741

  2. Betroffene Systeme

    Die LANTIME-Firmware-Versionen vor 7.08.017 sind von den angezeigten Schwachstellen betroffen. Die LANTIME-Firmware wird von allen Geräten der LANTIME-M-Serie (M100, M150, M200, M250, M300, M320, M400, M450, M600, M900) sowie allen Geräten der LANTIME-IMS-Serie (M500, M1000, M1000S, M2000S, M3000, M3000S, M4000), der SyncFire-Produktfamilie (SF1000, SF1100, SF1200, SF1500) und LANTIME CPU-Erweiterungen (LCES) verwendet.

    Ob und in welchem Maß einzelne Kunden bzw. LANTIME-Systeme angreifbar sind, hängt von der jeweiligen Konfiguration, der Netzwerkinfrastruktur und anderen Faktoren ab. Aus diesem Grund kann daher keine allgemeine Aussage über die tatsächliche Angreifbarkeit der eingesetzten Systeme gemacht werden.

  3. Mögliche Sicherheitsmaßnahmen

    Die jeweiligen Sicherheitsupdates sind in der LANTIME-Firmware-Version 7.08.017(-light) enthalten. Eine Aktualisierung auf diese Version behebt die jeweils gelisteten Sicherheitsschwachstellen.

    Download der aktuellen LANTIME-Firmware unter:

    Die Aktualisierung ist für Meinberg-Kunden ab sofort erhältlich. Es wird empfohlen, die LANTIME-Firmware auf die letzte Version 7.08.017 zu aktualisieren. Kunden, die keine Möglichkeit haben, die Version 7.08.017 zu installieren, können auf die 7.08.017-light zurückgreifen.

  4. Weitere Informationen

    Weitere Details und Informationen finden Sie auf der folgenden Webseite:

    Bitte kontaktieren Sie Ihren Meinberg-Support, wenn Sie weitere Fragen haben oder Unterstützung benötigen.

  5. Danksagung

    Wir möchten uns vielmals bei allen bedanken, die uns auf Schwachstellen, andere Fehler oder Verbesserungen hinwiesen.

    Vielen Dank!


Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact Meinberg Mail Contact