Wichtige Information zu potentiell ausnutzbaren Schwachstellen im PDF-Wandlungsdienst unserer Software

Sehr geehrte Kundinnen und Kunden,

wir möchten Sie heute transparent und zeitnah darüber informieren, dass im PDF-Wandlungsdienst unserer Software potenziell ausnutzbare Schwachstellen im eingesetzten Open-Source-Bildverarbeitungstool ImageMagick entdeckt wurden.

Betroffen sind folgende Versionen von ImageMagick, die unter anderem in unseren Produkten der VIS-Suite Verwendung finden:

  • ImageMagick 7.1.1-8 (unter anderem in VIS 6.5 und 6.6)
  • ImageMagick 6.5.2-5 (unter anderem in VIS 6.4)

Eine Untersuchung hat gezeigt, dass Angreifer durch speziell präparierte Bilddateien unter bestimmten Umständen schädlichen Code auf dem Server ausführen, Anwendungen zum Absturz bringen oder Informationen auslesen könnten.

Betroffen ist insbesondere der VIS-JobProzessor, eine zentrale Komponente in unseren Standardprodukten.

Um mögliche Risiken zu minimieren, empfehlen wir Ihnen, das von uns bereitgestellte Update-Paket einzuspielen, das wir für alle genannten Versionen bereitstellen. Dazu haben wir eine ausführliche Anleitung sowie ein geprüftes Update-Paket vorbereitet, die Sie unter folgendem Link finden: https://cloud.pdv.de/nextcloud/f/1025144]2025-11-12_Update_ImageMagick_7-1-2-8_fuer-alle-VIS-JP.zip

Wir empfehlen Ihnen, das Update zeitnah durchzuführen, um den Schutz Ihrer Systeme sicherzustellen. Sollten Sie Unterstützung benötigen oder Fragen haben, steht Ihnen unser Support-Team wie gewohnt gerne zur Verfügung.

Die PDV legt großen Wert auf Sicherheit in der Softwareentwicklung. Mit langfristigem Blick setzen wir seit Jahren gezielte und nachhaltige Maßnahmen um und arbeiten kontinuierlich daran, die Sicherheit unserer Produkte weiter zu verbessern, um Ihnen jederzeit sichere und verlässliche Lösungen bieten zu können.

Vielen Dank für Ihr Verständnis und Ihr Vertrauen. Ihr PDV-Team
Erfurt, 14.11.2025

Wichtiger Hinweis zur Sicherheitswarnung zur Spring4Shell

Sehr geehrte Damen und Herren,

in der Spring4Shell wurden Sicherheitslücken entdeckt.

Wir haben unsere Komponenten basierend auf den aktuell bekannten Informationen geprüft und keine Komponenten identifiziert, welche über die Schwachstellen angreifbar ist.

Details

CVE-2022-22963:

Diese Schwachstelle ist sehr einfach auszunutzen und ermöglicht es einem Angreifer, über einen HTTP-Header namens „spring.cloud.function.routing-expression“ beliebigen Code an Spring Expression Language (SpEL) zu übergeben, da dieser Parameter von der Cloud Function nicht validiert wird. Die Auswirkung dieser Schwachstelle ist sehr hoch, wenn man die Einfachheit der Ausnutzung betrachtet, aber ziemlich gering, wenn man die Verfügbarkeit betrachtet – sie betrifft nur Dienste, die Spring Cloud Function <=3.1.6 (für 3.1.x) und <=3.2.2 (für 3.2.x) verwenden. Die PDV setzt aktuelle in keiner Komponente die anfällige Spring Cloud Function ein. CVE-2022-22965:

Die Schwachstelle betrifft Spring MVC- und Spring WebFlux-Anwendungen, welche unter der JDK 9+ laufen. Der spezifische Exploit erfordert, dass die Anwendung auf Tomcat als WAR-Bereitstellung läuft. Wenn die Anwendung als ausführbares Spring Boot.jar bereitgestellt wird, d.h. als Standard, ist sie nicht anfällig für die Schwachstelle.

Die Komponenten der PDV verwenden JDK 8 und nicht das modulare JDK 9, sodass die Sicherheitslücke nicht entsteht.

Weiter Informationen zur Bekanntgabe der Sicherheitslücke entnehmen Sie bitte hier:

Spring4Shell: Security Analysis of the latest Java RCE ‚0-day‘ vulnerabilities in Spring | LunaSec

Vielen Dank Ihr PDV-Team