Hier geht's weiter ➡️: Ankündigung sicherheitsrelevantes Update VIWAS

was steht denn da? ist irgendwie geschlossener bereich for vips?

Oh, sorry 😶. Gar nicht drauf geachtet 😇. Ist die Gruppe IT-Administratoren. Da steht: 

Ankündigung sicherheitsrelevantes Update VIWAS (alle Varianten)

---

@Sonja-Berger schrieb:

Am 18.012022 informierte McAfee über Schwachstellen in einer Komponente und stellte eine neue Version bereit. Security Bulletin - McAfee Agent update fixes two vulnerabilities (CVE-2021-31854, CVE-2022-0166) Die Produkte VIWAS compact, classic und comfort nutzen den McAfee Agent als Fremdkomponente. Wir sind an der Erstellung der bereinigten Versionen und informieren sobald die neuen Versionen bereitstehen.

---

Erklärt auch, warum @bernd_wettstein einen neuen Thread erstellt hat. Hatte mich schon gewundert, warum er den nicht gesehen hat. Was sagt uns das? Höre auf deinen Bauch und die erste Skepsis oder komische Sache 😉.

Gibt es hier eigentlich schon Neuigkeiten wann ein Update kommt? Scheint ja nicht ganz unkritisch zu sein.

---

VIWAS: Sicherheitsupdate

 

Voraussichtlich am 28.01.2022 (ab 18.15 Uhr) wird ein sicherheitsrelevantes Update für VIWAS comfort, VIWAS classic und VIWAS für WTS Clients zum Abruf per DFÜ bereitgestellt (weitere Infos: Dok.-Nr. 1021284). Für VIWAS compact wird das Update ebenfalls voraussichtlich am 28.01.2022 über das Datenträger Downloadportal bereitgestellt (weitere Infos: Dok.-Nr. 1002484).

 

Bitte installieren Sie das Update sobald es bereitsteht.

---

Quelle: Software-Bereitstellung 

Bitte für diesen #Service ✌️. 

Ich hole nochmal mehr aus der verborgenen Ecke für mehr Transparenz in Sachen Security:

---

@Sonja-Berger schrieb:

Weiterer Hinweis:

Mit der Version 11.38 wird nur der McAfee Agent ausgetauscht.

Die individuelle Konfiguration der Vorversion wird nicht überschrieben falls mindestens die Vorversion 11.36 oder 11.37 installiert ist.

---

@metalposaunist:

Erklärt auch, warum @bernd_wettstein einen neuen Thread erstellt hat. Hatte mich schon gewundert, warum er den nicht gesehen hat.

Scheinbar gilt in solchen "unwichtigen" und "nur" sicherheitsrelevanten Fällen: 
"insecurity through obscurity".  😝

Was soll ich sagen:  auch wenn ich als IT-Auditor schon länger nicht mehr operativ administriere informiere ich mich gern, so wie ich auch selbst informiere, aber wie immer ist es bei DATEV so wie an anderen Stellen auch.    Der eine oder andere scheint dann doch hören zu wollen, was ich da z.B. an anderer Stelle (https://t1p.de/9fpzn) so weitergebe. 

So eine kritische Lücke die auch noch bei einer sicherheitsrelevanten Schutzkomponente aufgetreten ist steht nun aber -wieder mal - nicht nur zum einen nicht gerade an hochprominenter Stelle, wo sie eigentlich hingehören könnte und sollte, wenn man ein echtes Security-Radar wollte und der Leuchtturm in unserer Branche für IT-Sicherheit sein will.  Nein, es kommt noch besser:  die Information steht wohl im Moment nur in einem geschützten Bereich der Community. Weder wurde der Beitrag bei einer einfachen Forensuche nach "VIWAS" noch bei folgenden Suchphrasen vor dem Posten des Beitrages gefunden,  zum Zeitpunkt des ursprünglichen Beitrages übrigens auch nicht in der Kombination mit DATEV bei google.de:

McAfee,  CVE-2021-31854, CVE-2022-0166, CleanUp.exe, usw. ...

Mein Fehler. Hätte ich wissen müssen, dass ich mich anmelden und im Worst-Case sogar wieder manuell jede einfache Gruppe manuell danach absuchen muss, weil so ein kritischer Patch halt eher wie ein kleines normales nice-to-have-Update immerhin mit dem Label "Sonderupdate" verteilt wird...  

Interessanterweise wird der Beitrag nun bei "Nach allen Inhalten suchen" gefunden.  Seufz...
...achso - natürlich nur wenn man angemeldet ist, das darf man natürlich nicht vergessen. 😉

Man könnte natürlich auch proaktiv und öffentlich sicht- und wahrnehmbar informieren, wenn es um Sicherheit geht...  😉   Womöglich auf der Startseite oder Social-Media-Kanälen...   wenn man will..    ja, ok - es steht jetzt immerhin in der Softwareauslieferung.  Scheinbar wird diese aber auch nicht so richtig in öffentlichen Suchindizes aufgenommen.  😔   Im Infodok... ääh Hilfecenter steht's dann auch irgendwo...  wenn man es weiß, den da fehlen wohl auch entsprechende Keywords, Tags oder es gibt andere Gründe warum das nicht gefunden wird und der Suche nach CVE-Codes o.ä. verborgen ist.  Vermutlich suche nur ich so nach entsprechend bekanntgewordenen öffentlichen Exploits und Schwachstellen. 🤐

Was soll's... muss ja nicht jeder erfahren.  So wirkt es zumindest...  😒

¯\_ツ_/¯

P.S.:

Google findet bis heute wohl übrigens nur diesen Beitrag hier.  🤔

https://www.google.de/search?q=CVE-2021-31854+datev&source=hp 
bzw.
https://www.google.de/search?q=CVE-2022-0166+datev&source=hp 

---

@metalposaunist  schrieb:

---

VIWAS: Sicherheitsupdate

 

Voraussichtlich am 28.01.2022 (ab 18.15 Uhr) wird ein sicherheitsrelevantes Update für VIWAS comfort, VIWAS classic und VIWAS für WTS Clients zum Abruf per DFÜ bereitgestellt (weitere Infos: Dok.-Nr. 1021284). Für VIWAS compact wird das Update ebenfalls voraussichtlich am 28.01.2022 über das Datenträger Downloadportal bereitgestellt (weitere Infos: Dok.-Nr. 1002484).

 

Bitte installieren Sie das Update sobald es bereitsteht.

---

Quelle: Software-Bereitstellung 

Damit können fast alle VIWAS-Versionen aktuell gehalten werden; fehlt nur noch die ASP-Variante auf dem DATEVasp Downloadportal:

Wird diese auch bald erscheinen? Dann kann man sich die Installation der ersten 2022-Version sparen.

---

@herr-jfs schrieb:

Dann kann man sich die Installation der ersten 2022-Version sparen.

---

Und wenn man Richtung Automatisation und Verwaltung denkt und sich mal an Sophos richtet, ist die Installation, Wartung und Überwachung von Manuel👨 überflüssig.

Dann gibt es ein online Portal von VIWAS, in der man online seine Clients der Kanzlei hat und dort zentral alles erledigen kann oder auch einfach Regeln erstellt, was passiert wenn.

Die VIWAS Management Konsole ist auch Technik von vorgestern und klappt auch nicht mit der DATEVasp VIWAS Version, oder?

@ludwig_aulitzky: Ist da was in Planung? Oder will sich DATEV nicht mehr so wie führende Sicherheitshersteller aufstellen?