Progress warnt vor Sicherheitslücken in den Entwicklertools Telerik sowie dem Load Balancer Loadmaster. In Telerik können Angreifer Daten aus der Kommunikation von Agent- und Host-Komponenten ausspähen, in Loadmaster hingegen Befehle ans Betriebssystem einschleusen.
Anzeige
Die Sicherheitsmitteilung von Progress zu Telerik beschreibt die Schwachstelle als "Klartext-Übertragung von sensiblen Informationen" (CVE-2025-0556, CVSS 8.8, Risiko "hoch"). Der Hersteller schränkt jedoch ein, dass beim Report Server bei der Nutzung ausschließlich der älteren .Net-Framework-Implementierung die Kommunikation nicht-sensibler Daten zwischen Service-Agent und App-Host über einen nicht verschlüsselten Tunnel läuft. In der Standard-Installation befinden sich beide Komponenten auf derselben Maschine. Da auch andere Installationsarten möglich sind, fließt in die Risikobewertung jedoch der Missbrauch aus dem Netz ein, was das Risiko erhöhe.
Bei der Nutzung der neueren .Net-Implementierung trete das nicht auf. Betroffen sind die Versionen von Telerik 2024 Q4 (10.3.24.1218) und frühere; die Fassung 2025 Q1 (11.0.25.211) oder neuer bessern den zugrundeliegenden Fehler aus.
In einer weiteren Sicherheitsmitteilung erörtert Progress Schwachstellen in Loadmaster sowie im Loadmaster Multi-Tenant (MT) Hypervisor. Angreifer können fünf unterschiedliche Sicherheitslecks missbrauchen, um nach Authentifizierung am Management Interface mit sorgsam präparierten HTTP-Anfragen beliebige Systembefehle einzuschleusen, die das Betriebssystem ausführt (CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, CVE-2024-56135; alle CVSS 8.4, Risiko "hoch"). Eine weitere Lücke erlaubt auf diesem Weg das Herunterladen von beliebigen Dateien des Zielsystems (CVE-2024-56134, CVSS 8.4, hoch).
Für Loadmaster 7.2.55.0 bis 7.2.60.1 korrigiert die Version 7.2.61.0 (GA) die Fehler, für 7.2.49.0 bis 7.2.54.12 hingegen Version 7.2.54.13 (LTSF). Wer Loadmaster 7.2.48.12 oder älter einsetzt, soll auf die akuelle GA- oder LTSF-Version aktualisieren. Für Multi-Tenant Loadmaster 7.1.35.12 und alle vorherigen Fassungen steht das Update auf Version 7.1.35.13 (GA) bereit.
IT-Verantwortliche sollten die Updates zügig installieren. Etwa im November vergangenen Jahres warnte die US-amerikanische IT-Sicherheitsbehörde CISA davor, dass Sicherheitslücken in Loadmaster im Netz angegriffen werden.