Kritische Sicherheitslücke in OpenEdge entdeckt

1 month ago 13

EUVD-2025-209440 / CVE-2025-8095 Unsichere Verschlüsselung bei OpenEdge ermöglicht Cyberangriffe

Anbieter zum Thema

Progress warnt dass mit OECH1-kodierte Anmeldedaten in OpenEdge als kom­promittiert gelten und Cyberkriminelle sich Zugriff verschaffen könnten. Die Verschlüsselungsmethode wurde ausgetauscht, patchen müssen die Nutzer dennoch.

Ursprünglich setzte Progress die OECH1-Verschlüsselungsmethode ein, um Zeichenketten zu verschleiern. Mittlerweile gilt sie jedoch als kryptographisch schwach und wurde daher durch einen stärkeren Algorithmus ersetzt.

(Bild: Gemini / Vogel IT-Medien GmbH / KI-generiert)

Eine kryptographisch schwache Verschlüsselungsmethode in der OpenEdge-Plattform von Progress Software stellt eine erhebliche Sicherheitslücke dar, die Nutzer dringend schließen sollten, um zu verhindern, dass Cyberangreifer ihre Daten entschlüsseln.

Eakrin - stock.adobe.com)

Verschlüsselung ist nicht mehr geeignet

OpenEdge ist eine Anwendungsentwicklungsplattform mit integrierter Datenbank, die es Ent­wicklern ermöglicht, Geschäftsanwendungen schnell zu entwickeln und auf verschiedenen Platt­formen, Geräten und in der Cloud bereitzustellen. Betroffen von der Schwachstelle EUVD­2025-209440 / CVE-2025-8095 (CVSS-Score 9.1, EPSS-Score 0.02) ist die OECH1-Ver­schlüs­sel­ung, die der Verschleierung von Werten in OpenEdge dient.

Der Hersteller beschreibt das Problem als „unbeabsichtigte Verwendung von OECH1 zum Schutz von Passwörtern/Geheimnissen“. Progress warnt, dass OECH1-kodierte Werte, auch An­mel­dedaten, als kompromittiert angesehen werden müssen. Die Kodierungs- und De­ko­dier­ungs­funktionen für OECH1 könnten von unbefugten Dritten aufgerufen werden. Auch das er­neu­te Kodieren älterer OECH1-Werte ohne Änderung des zugrunde liegenden Geheimnisses mindere das Risiko nicht. Selbst wenn Angreifer ältere OECH1-kodierte Werte erlangen, könn­ten sie aktualisierte Bereitstellungen weiterhin ausnutzen. Kunden sollten folgende Schutz­maß­nah­men umgehend umsetzen:

  • Installieren Sie eine der sicheren Versionen (siehe unten).
  • Ändern Sie alle administrativen und Integrationszugangsdaten.
  • Sichern Sie alle OpenEdge-Installationen, Datenbanken und Konfigurationsdateien.
  • Entfernen Sie jegliche OECH1-Nutzung vor der Produktivsetzung.

„Bisher liegen uns keine Berichte über die Ausnutzung dieser Sicherheitslücke vor, und es sind uns keine direkten Auswirkungen auf den Betrieb unserer Kunden bekannt“, heißt es in der Mel­dung von Progress. Der Hersteller hat OECH1 durch einen stärkeren Ver­schlei­er­ungs­al­go­rithmus ersetzt und seine Code-Kontrollen verbessert. Weil die OECH1-Kodierung dauerhaft entfernt wurde, sind die Änderungen nicht abwärtskompatibel. Kunden sollten ihre Mi­gra­tions­aktivitäten daher sorgfältig planen, um die Systemverfügbarkeit zu gewährleisten.

Alex - stock.adobe.com)

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50816148)

Read Entire Article
  1. Homepage
  2. AI News DE
  3. Kritische Sicherheitslücke in OpenEdge entdeckt

Related

SIPRI warnt vor atomarer Aufrüstung

SIPRI warnt vor atomarer Aufrüstung

1 hour ago 0
G7 befürwortet direkte Verhandlungen mit Putin

G7 befürwortet direkte Verhandlungen mit Putin

1 hour ago 0
Iran feuert Raketen auf Israel – Netanjahu beruft Krisentreffen ein

Iran feuert Raketen auf Israel – Netanjahu beruft Krisentref...

3 hours ago 1