MAX! Software = Sicherheitsrisiko | MAX! 1.3.7
25.02.2013, 09:15
Sehr geehrte Damen und Herren, sehr geehrte Produktverantwortliche,
kurz zur Vorstellung, mein Name ist Christian Pixa und ich arbeite für eine größere IT Firma im Bereich Softwarepaketierung.
Privat setze ich das Heizungsautomatisierungs-System der Firma eQ-3 ein.
Heute stellte ich fest, dass die MAX! Softwareversion 1.3.7 zum Download bereit steht. Während der Installation dieser Softwareversion ist ersichtlich, dass das Setup jeweils die Java Version 1.7.0_13 als 32bit und auch als 64bit Pendant mit auspackt.
Ich dachte ich sehe nicht recht, jedoch werden nicht nur die Sourcen auf der Festplatte abgelegt, nein - das Max! Setup installiert sogar die Lücken behaftete Java Version 1.7.0_13!
Sicherheitslücke: https://blogs.oracle.com/security/entry/updates_to_february_2013_critical
Dies stellt ein Sicherheitsrisiko dar und ist so nicht zu dulden.
Kritik:
Warum setzt hier eQ-3 auf eine derartige Installationsweise? Warum muss hier unbedingt Java mit installiert werden, anstatt es als Softwarevoraussetzung zu nennen?
Ich halte es für sehr bedenklich, eine derartige Softwareverteilung vorzunehmen. Von mir wäre eine derartiger Wrapper nicht freigegeben wurden.
Empfehlung:
Ganz klar, dem Paketierer dieser Softwareversion gehörig auf die Finger klopfen. Die MAX! Software sollte entsprechend angepasst und dem User der Hinweis mitgegeben werden, über http://www.java.com/de/download/manual.jsp die aktuelle Java Version zu installieren.
Für einen Laien ist sicherlich nicht klar, was eigentlich während der Installation passiert, jedoch wenn ich mir so das Setup ansehe, kann man Einiges verbessern. Aber dies ist ein Anderes Thema.
So wie nun die Version 1.3.7 da steht, kann man diese nicht dem User auf's Auge drücken und sollte hier definitiv angepasst werden.
MfG
Christian Pixa
kurz zur Vorstellung, mein Name ist Christian Pixa und ich arbeite für eine größere IT Firma im Bereich Softwarepaketierung.
Privat setze ich das Heizungsautomatisierungs-System der Firma eQ-3 ein.
Heute stellte ich fest, dass die MAX! Softwareversion 1.3.7 zum Download bereit steht. Während der Installation dieser Softwareversion ist ersichtlich, dass das Setup jeweils die Java Version 1.7.0_13 als 32bit und auch als 64bit Pendant mit auspackt.
Ich dachte ich sehe nicht recht, jedoch werden nicht nur die Sourcen auf der Festplatte abgelegt, nein - das Max! Setup installiert sogar die Lücken behaftete Java Version 1.7.0_13!
Sicherheitslücke: https://blogs.oracle.com/security/entry/updates_to_february_2013_critical
Dies stellt ein Sicherheitsrisiko dar und ist so nicht zu dulden.
Kritik:
Warum setzt hier eQ-3 auf eine derartige Installationsweise? Warum muss hier unbedingt Java mit installiert werden, anstatt es als Softwarevoraussetzung zu nennen?
Ich halte es für sehr bedenklich, eine derartige Softwareverteilung vorzunehmen. Von mir wäre eine derartiger Wrapper nicht freigegeben wurden.
Empfehlung:
Ganz klar, dem Paketierer dieser Softwareversion gehörig auf die Finger klopfen. Die MAX! Software sollte entsprechend angepasst und dem User der Hinweis mitgegeben werden, über http://www.java.com/de/download/manual.jsp die aktuelle Java Version zu installieren.
Für einen Laien ist sicherlich nicht klar, was eigentlich während der Installation passiert, jedoch wenn ich mir so das Setup ansehe, kann man Einiges verbessern. Aber dies ist ein Anderes Thema.
So wie nun die Version 1.3.7 da steht, kann man diese nicht dem User auf's Auge drücken und sollte hier definitiv angepasst werden.
MfG
Christian Pixa