Groupware BSCW mit Security Update

Online-Kooperation wird sicherer

OrbiTeam und das Fraunhofer FIT haben Version 4.4.5 der Web-Groupware BSCW angekündigt. Das Security Update bekämpft verschiedene als kritisch eingestufte Sicherheitsprobleme.

Beispielsweise wurde kürzlich mittels eines "Proof Of Concept Exploits" eine Sicherheitslücke aufgedeckt, die ein so genanntes Session Riding ermöglicht. Das ist nur eine von vielen Angriffsarten, auf die sich Anbieter moderner Webanwendungen einstellen müssen.

Die Vernetzung von Anwendungen über Schnittstellen (etwa in Mashups) und die verbesserten Nutzungsmöglichkeiten des Webs durch Technologien wie Ajax führen zu zahlreichen Möglichkeiten für Webattacken, so das Fraunhofer FIT. Dazu zählen etwa Code-Injection und Cross-Site Scripting (XSS).

Im konkreten Fall könnte ein Angreifer mittels JavaScript-Code auf einer Website ein bestimmtes Formular des Systems simulieren und so Daten an den BSCW-Server übermitteln. Diese Attacke erfolgt für den Anwender unbemerkt. Sie kann im Ernstfall zu weiteren Angriffen führen, etwa indem Inhalte mit Schadcode in die Kooperationsplattform eingeschleust und dort von anderen Anwendern abgerufen werden.

OrbiTeam und Fraunhofer FIT haben auf die entdeckte Sicherheitslücke hin die BSCW-Software für alle Plattformen (Linux, Windows) angepasst. Schäden aufgrund der Sicherheitslücke konnten bisher bei keinem Produktivsystem beobachtet werden.

Dennoch wird allen Anwendern der BSCW-Software empfohlen, die Aktualisierung auf die neue Version umgehend durchzuführen. Neben den Security Patches bringt Version 4.4.5 einige weitere Verbesserungen. Dazu zählen erneuerte Zertifikate für die signierten Java-Applets, die im System für Datei- bzw. Termin-Synchronisation und die einfache Übertragung von Dokumenten per "Drag and Drop" angeboten werden. Die neue Version steht zum Download bereit.

Das BSCW Shared-Workspace-System ist ein weltweit verbreitetes Werkzeug für Zusammenarbeit und Informationsaustausch in gemeinsamen Arbeitsbereichen. BSCW bringt geografisch entfernte Teams zusammen und ermöglicht eine Kooperation über Organisationsgrenzen hinweg. Neben der Dokumentverwaltung und dem gemeinsamen Zugriff auf Termine, Kontakte und Aufgaben unterstützt die Plattform auch Kommunikation und Koordination der Anwender durch Diskussionsforen, Blogs, Umfragen und Communities. (dsc)