IMPORTANT! Action needed for Telerik vulnerability Exact Synergy environment

Exact

Exact , , , ,

Informatie Exact Software betreffende Telerik

Vandaag hebben relaties met Exact Synergy Enterprise onderstaande communicatie ontvangen. Wij nemen met elke relatie welke het betreft contact op. Mocht u ondertussen hierover vragen hebben neemt u dan gerust contact met ons op.

 

Communicatie Exact Software

Woensdag 9 juni 2020, 07:00 u.

U ontvangt deze mail omdat u Exact Synergy producten en/of diensten bij ons afneemt. In het Exact Synergy product maken we gebruik van de 3de partij Telerik user interface technologie en componenten. Onlangs is er een kwetsbaarheid (CVE-2019-18935) gevonden in het Telerik framework. In bepaalde omstandigheden kan dit leiden tot schadelijke uploads van bestanden.

Daarom is het noodzakelijk snel actie te ondernemen om eventuele risico’s te beperken. Voor uw Exact Synergy omgeving zijn de volgende opties van toepassing:

1. Allereerst raden wij u ten zeerste aan een update van uw Exact Synergy-omgeving naar het nieuwste servicepack 265 SP1, 264 SP8 of 263 SP15 uit te voeren. Met deze servicepacks wordt de kwetsbaarheid opgelost.

2. Als u een Exact Synergy omgeving hebt met een release tussen 265 en 263, maar u kunt op korte termijn niet updaten naar het laatste service pack, dan is er een alternatief. In dat geval moet u een aanpassing maken in het web.config-bestand en de volgende coderegels toevoegen:

<appSettings>
<add key=“Telerik.Web.DisableAsyncUploadHandler” value=“true”/>
</appSettings>

3. Wanneer u werkt met een Exact Synergy-release van 262 of 261, raden wij u ten zeerste aan om een update uit te voeren naar één van de bovengenoemde versies / servicepacks uit optie 1. Als u niet kunt updaten, kan het alternatief van optie 2 worden geïmplementeerd.

4. Indien de release van uw Exact Synergy omgeving 260 of lager is, is er geen Exact oplossing of alternatief beschikbaar om de kwetsbaarheid op te lossen en is eerst een update van de Exact Synergy omgeving naar een hogere release vereist.

5. Een algemener technisch alternatief buiten de Exact-oplossing zou kunnen zijn om alle “POST” -aanvragen voor Telerik naar uw Synergy-omgeving (naar /Telerik.Web.UI.WebResource.axd) op de webserver, firewall (indien aanwezig) of load balancer (indien aanwezig) te blokkeren. De implementatie hiervan zult u dienen af te stemmen met uw IT systeem beheerder of IT partner.

 

Oplossing en vervolg
Afhankelijk van de gebruikte release en servicepack bepalen wij samen met u het juiste vervolg.

Voor meer informatie en voor het uitvoeren van een update kunt u uiteraard te allen tijde contact opnemen. Bij eventuele vragen over het updaten van uw software is het uiteraard te allen tijde verstandig om vooraf contact met ons op te nemen. Wij kunnen u uiteraard ook altijd ondersteunen bij het installeren van uw updates. Dit kan periodiek geschieden op basis van nacalculatie maar u kunt hiervoor ook een jaarlijkse supportovereenkomst afsluiten.

Hoewel een update in eigen beheer kan worden uitgevoerd wordt software steeds complexer. Daarnaast is deze meer en meer verweven met de onderliggende techniek en rollen en rechten op uw infrastructuur. Wij raden u dan in principe ook aan om updates door onze specialisten te laten uitvoeren. Wij maken uiteraard te allen tijde graag een afspraak met u.