Notificatie | Exact Synergy

In het Exact Synergy product wordt gebruik gemaakt van de 3de partij Telerik user interface technologie en componenten. Onlangs is er een kwetsbaarheid (CVE-2019-18935) gevonden in het Telerik framework. Exact raad aan een update uit te voeren óf een aanpassing in het web.config-bestand te maken om deze kwetsbaarheid op te lossen. 

De volgende opties zijn van toepassing:

  1. Het is noodzakelijk om snel actie te ondernemen om eventuele risico's te beperken. Door een update van Exact Synergy uit te voeren naar het nieuwste servicepack 265 SP1, 264 SP8 of 263 SP15 los je de kwetsbaarheid op.
     
  2. Per Exact Synergy versie raad Exact de volgende oplossing aan: 

Versie 265 en 263: kun je op korte termijn niet updaten naar het laatste service pack, dan is er een alternatief. In dat geval moet je een aanpassing maken in het web.config-bestand en de volgende coderegels toevoegen:

<appSettings>
<add
key="Telerik.Web.DisableAsyncUploadHandler"value="true"/>
</appSettings>

Versie 261 of 262: Voer een update uit naar Exact Synergy versie 265 SP1, 264 SP8 of 263 SP15. Wanneer updaten niet mogelijk is, kun je het web.config bestand aanpassen aan de hand van oplossing 1. 

Versie 260 of lager: Werk je in Exact Synergy versie 260 of lager? Dan is er geen Exact oplossing of alternatief beschikbaar om de kwetsbaarheid op te lossen en is eerst een update van de Exact Synergy omgeving naar een hogere versie vereist.

Technisch alternatief

Een algemener technisch alternatief buiten de Exact-oplossing zou kunnen zijn om alle "POST" -aanvragen voor Telerik naar uw Synergy-omgeving (naar /Telerik.Web.UI.WebResource.axd)  op de webserver, firewall (indien aanwezig) of load balancer (indien aanwezig) te blokkeren. Hiervoor kun je contact opnemen met onze Exact servicedesk.

Vragen?

Voor overige of aanvullende vragen of hulp naar aanleiding van dit bericht neem contact op met onze Exact servicedesk.