Remote-Anwendungsserver-Schwachstelle – CVE-2020-15860

0 users found this article helpful

Schweregrad

Mittel

Beschreibung

Parallels Remote Application Server (RAS) hat einen Fehler in der Geschäftslogik verursacht, der eine Codeausführung aus der Ferne verursacht. Dies kann es einem authentifizierten Benutzer ermöglichen, Anfragen zwischen Parallels-Kunden und Backend-Servern zu manipulieren, was zu unbeabsichtigtem Zugriff auf jeden Server in der Parallels RAS-Farm oder andere Server in derselben internen Domain führt. Darüber hinaus kann ein authentifizierter Benutzer möglicherweise Anwendungen starten und ausführen, die nicht über die Parallels-RAS-Filterung in der Umgebung zur Verfügung gestellt werden.

Quelle

CVE-2020-15860 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15860

 

Lösung

Ein Bugfix für CVE-2020-158606 ist inRemote Application Server v17.1.2.1-21873 verfügbar. Dieser Sicherheitspatch erfordert sowohl ein Server- als auch ein Client-Upgrade.

Sobald die RAS-Farm aktualisiert ist, wird der Bediener der Konsole beim Öffnen aufgefordert, Folgendes zu aktivieren „Nur Clients mit den neuesten Sicherheitspatches zulassen“.

Wenn Sie auf „Ja“ klicken, wird diese Option automatisch aktiviert. Das bedeutet, dass ein Client ohne die neuesten Parallels-Sicherheitspatches keine Verbindung herstellen kann.

Diese Option kann auch zu einem späteren Zeitpunkt aktiviert werden. Dies kann wie folgt erfolgen:

1 Serverfarm > Verbindung > Erlaubte Geräte.

2.  Die Option „Nur Clients mit den neuesten Sicherheitspatches zulassen“ aktivieren.

 

Wichtiger Hinweis: Wenn die Option „Nur Clients mit den neuesten Sicherheitspatches zulassen“ aktiviert ist, können nur Parallels-Clients eine Verbindung herstellen, die den Sicherheitspatch Version 1, den neuesten Sicherheitspatch, anzeigen. Dies kann über den Parallels-Client > Hilfe > Info bestätigt werden.

 

Upgrade-Anweisungen

Das Upgrade auf die Version Remote Application Server v17.1.2.1-21873 muss in der folgenden Reihenfolge durchgeführt werden.

Schritt 1: Upgrade des Parallels-Clients – Die neueste Version des Parallels-Clients kann von hier heruntergeladen werden: https://www.parallels.com/products/ras/download/client/

Schritt 2: Upgrade Parallels Tenant Broker (TB) (bei mehreren Mandanten) – Ein reguläres RAS-Installationsprogramm (Remote Application Server) muss gestartet werden. Der Installationsassistent führt Sie durch das Upgrade.

Schritt 3: Upgrade für Serverfarm: Um die Remote Application Server Farm zu aktualisieren, müssen die folgenden Anweisungen berücksichtigt werden: //kb.parallels.com/en/124573

 

 

Was this article helpful?

Tell us how we can improve it.