CVE-2023-4863 / CVE-2023-5129: impact in Magister aangepakt
Op woensdag 27 september 2023 werd bij ons ‘Privacy & Security’-team bekend dat er sprake was van een wereldwijd ‘Zero-day lek’ (CVE-2023-4863 / CVE-2023-5129). Dit is een lek geclassificeerd als het hoogste risico in het afhandelen van WEBP-afbeeldingen in combinatie met een libwebp-bibliotheek, die door zeer veel software wordt gebruikt. Omdat ook Magister gebruik maakte van deze bibliotheek in de software en op het hostingplatform, is er direct actie ondernomen om het ‘Zero-day lek’ te dichten. U hoeft op dit moment niets te doen.
Magister heeft op donderdag 28 september de volgende acties ondernomen:
- Er is een tussentijdse release (6.4.8.3 en 6.4.9.1) uitgebracht van Magister Web. We maken geen gebruik meer van de specifieke bibliotheek met de kwetsbaarheid;
- Op het dataopslagplatform van Magister is het uploaden van WEBP-bestanden nu geblokkeerd. Zo voorkomen we dat mogelijk geïnfecteerde bestanden ook naar andere platformen worden verspreid;
- Op het hostingplatform is alle software die bekend zijn met deze kwetsbaarheid geüpdatet naar de beschikbare bijgewerkte versies.
Wij blijven uiteraard deze kwetsbaarheid nauwlettend volgen en de systemen bijwerken daar waar het voor onze en uw systemen nodig is.
Meer informatie
- Over wat een Zero-day lek inhoudt en de gevolgen kunt u hier nalezen op Wikipedia.
- De oorspronkelijke melding, voortgang in adviezen, oplossingen en work arounds kunt u terugvinden via de ‘National Vulnerability Database’.