Ist Ihr thingsHub von der von der XZ-Schwachstelle (CVE-2024-3094) betroffen?
Letzte Woche wurde eine kritische Schwachstelle (CVE-2024-3094, Basis-Score: 10.0 Critical) in XZ Utils entdeckt. Diese Schwachstelle könnte potenziell Angreifern die Ausführung von Code auf betroffenen Systemen ermöglichen.
Unser Entwicklungsteam hat umgehend die Auswirkungen auf unsere Systeme untersucht. Diese hat zu folgendem Ergebnis geführt:
In der Systemumgebung der thingsHub Produkte “Cloud” und “OnPremise” wird XZ Utils standardmäßig nicht installiert und daher sind diese nicht von der Schwachstelle betroffen.
Unsere relevanten benutzerdefinierten Dockerfiles schließen die Installation von XZ explizit aus. Zusätzlich verwendet Grafana, das innerhalb unseres Systems verwendet wird, das nicht betroffene Bild alpine:3.19.1 und installiert darauf kein XZ. Ebenso ist die von uns genutzte, CNCF zertifizierte Kubernetes-Engine für den thingshub-Cloud-Dienst (GKE) von diesem Fehler nicht betroffen.
Sollten Sie oder Kollegen von Ihnen hierzu Fragen haben, können Sie sich jederzeit per Email oder telefonisch an uns wenden.
Ihr SmartMakers thingsHub Entwicklungsteam
