Automic Workload Automation

Sie fragen:

Die verwendeten Technologien und Versionsnummern können an diversen Stellen ausgelesen werden. Ein Angreifer kann dadurch gezielt nach Schwachstellen für die vorliegen Versionen suchen, wodurch gezielt weiterführende Angriffe gestartet werden können.

z.B.:

- Der About Bereich enthält Informationen zu Versionsnummern zu installierten Plugins

- Ebenso können die Versionsnummern der verwendeten öffentlichen Bibliotheken ermittelt werden:
jquery /VAADIN/widgetsets/UC4WebUIWidgetset/jquery-1.7.1.min.js
match-highlighter /APP/PUBLISHED/addon/search/match-highlighter.js
search.js /APP/PUBLISHED/addon/search/search.js

#caautomicworkloadautomation

#automicwebinterface

Wir antworten:

Der About-Dialog ist nur für angemeldete Nutzer zugänglich, was die Angriffsfläche einschränkt.
Aus Lizenzgründen müssen die Versionsnummern angeführt werden, daher können wir sie nicht ausblenden.

Die Version von öffentlichen Bibliotheken (z.B. jQuery) kann über den Sourcecode direkt ermittelt werden.

Eine Verschleierung in der URL ist daher nicht zielführend.

Der Stacktrace bei Fehlermeldungen kann über die configuration.properties des AWI (Tomcat) deaktiviert werden.
Der Parameter der hier eingefügt werden muss lautet:
stacktraces.visible = false

Mit freundlichen Grüßen

Christian Glaser

CA Customer Success Support Engineer