Shop-Wechsel

Der Warenkorb wird nicht übernommen.

Zum Firmenkunden / Bildungseinrichtungs Shop

Heizung

MAX! Software = Sicherheitsrisiko | MAX! 1.3.7

Beiträge zu diesem Thema: 3
MAX! Software = Sicherheitsrisiko | MAX! 1.3.7
Antwort als hilfreich markieren
0Positive Markierungen
Antwort als nicht hilfreich markieren
0Negative Markierungen
Melden Sie diesen Beitrag
25.02.2013, 08:02
Sehr geehrte Damen und Herren, sehr geehrte Produktverantwortliche,

kurz zur Vorstellung, mein Name ist Christian Pixa und ich arbeite für eine größere IT Firma im Bereich Softwarepaketierung.

Privat setze ich das Heizungsautomatisierungs-System der Firma eQ-3 ein.

Heute stellte ich fest, dass die MAX! Softwareversion 1.3.7 zum Download bereit steht. Während der Installation dieser Softwareversion ist ersichtlich, dass das Setup jeweils die Java Version 1.7.0_13 als 32bit und auch als 64bit Pendant mit auspackt.

Ich dachte ich sehe nicht recht, jedoch werden nicht nur die Sourcen auf der Festplatte abgelegt, nein - das Max! Setup installiert sogar die Lücken behaftete Java Version 1.7.0_13!

Sicherheitslücke: https://blogs.oracle.com/security/entry/updates_to_february_2013_critical

Dies stellt ein Sicherheitsrisiko dar und ist so nicht zu dulden.

Kritik:

Warum setzt hier eQ-3 auf eine derartige Installationsweise? Warum muss hier unbedingt Java mit installiert werden, anstatt es als Softwarevoraussetzung zu nennen?

Ich halte es für sehr bedenklich, eine derartige Softwareverteilung vorzunehmen. Von mir wäre eine derartiger Wrapper nicht freigegeben wurden.

Empfehlung:

Ganz klar, dem Paketierer dieser Softwareversion gehörig auf die Finger klopfen. Die MAX! Software sollte entsprechend angepasst und dem User der Hinweis mitgegeben werden, über http://www.java.com/de/download/manual.jsp die aktuelle Java Version zu installieren.

Für einen Laien ist sicherlich nicht klar, was eigentlich während der Installation passiert, jedoch wenn ich mir so das Setup ansehe, kann man Einiges verbessern. Aber dies ist ein Anderes Thema.

So wie nun die Version 1.3.7 da steht, kann man diese nicht dem User auf's Auge drücken und sollte hier definitiv angepasst werden.

MfG
Christian Pixa
Aw: MAX! Software = Sicherheitsrisiko | MAX! 1.3.7
Antwort als hilfreich markieren
0Positive Markierungen
Antwort als nicht hilfreich markieren
0Negative Markierungen
Melden Sie diesen Beitrag
27.02.2013, 12:07
Hi ChristianP,

du weisst schon das du hier nicht mit eQ-3 sondern mit ELV sprichst, oder? :)

Die sind in diesem Fall nur Lieferant von Max wie u.a. Hama, REV oder "Big C" auch.

Inhaltlich hast du aber schon recht, ist nicht so ganz glücklich erst eine alte Java zu installieren und dann auf den Auto-Updater zu hoffen.

HomeMatic CCU2 + 2 CFG-LAN-Adapter mit 96 Geräten und 278 Kanälen // FeWo mit ELV MAX Cube und 11 Geräten
Aw: MAX! Software = Sicherheitsrisiko | MAX! 1.3.7
Antwort als hilfreich markieren
0Positive Markierungen
Antwort als nicht hilfreich markieren
0Negative Markierungen
Melden Sie diesen Beitrag
27.02.2013, 12:10
Hi ssakcik,

korrekt - jedoch hoffe (ich habe es bereits in einem weiteren Beitrag gelesen), dass man sich dem annimmt und an die Entwickler durchreicht.

Ich als "Endverbraucher" habe keinen Kontakt zu den Entwicklern.