Unser Hersteller NetSupport hat uns über vier Sicherheitsbedrohungen in der PC-Fernwartung NetSupport Manager sowie im Desktop Alerting NetSupport Noitfy informiert. Diese wurden von beauftragten Sicherheitsexperten identifiziert. NetSupport hat umgehend Maßnahmen ergriffen und ein neues Produkt-Update mit den folgenden Korrekturen veröffentlicht.

Die Sicherheitsupdates betreffen die folgenden Schwachstellen in der NetSupport Gateway-Komponente:  

• Gateway-Überlastung (Buffer overflow) 
  Wenn eine extrem lange HTTP/HTTPS-Anfrage an den NetSupport Manager Gateway-Dienst gesendet wird, konnte dies zu einem unerwarteten Absturz des Dienstes führen. Dieses Problem wurde durch die korrekte Validierung aller Eingabeparameter der HTTP/HTTPS-Anfrage behoben.
   
• Offenlegung von Informationen durch nicht authentifizierte SQL-Injection (CVE-2025-34179) 
  Das NetSupport Manager Gateway beantwortet HTTP/HTTPS-Dateianfragen zum Herunterladen einer in seiner internen Datenbank gespeicherten Datei. Wurde der Gateway-Schlüssel kompromittiert und eine Authentifizierungsverbindung hergestellt, konnte ein Angreifer durch SQL-Injection einen Datensatz einfügen, der einen Pfadübertritt nutzte, um auf Dateien und Verzeichnisse außerhalb der vorgesehenen Anwendungsverzeichnisse zuzugreifen. Dieses Problem wurde durch die korrekte Bereinigung und Validierung aller Eingaben behoben, um „../“ in Pfaden, absolute Pfade und Nullwerte abzulehnen.
   
• Schwache Passwortverschlüsselung (CVE2025-34180)
  Das NetSupport Manager Gateway verwendet einen Schlüssel für einen Teil seiner Authentifizierung zwischen Clients und Steuerelementen. Der Schlüssel wird lokal verschlüsselt, auf einer Steuerelement- oder Clientinstallation gespeichert oder über eine Richtlinie konfiguriert. Die verwendete Verschlüsselung basierte auf einem schwachen Verschlüsselungsalgorithmus. Dies wurde in der neuesten Version behoben, indem alle gespeicherten Werte auf den Industriestandard für hohe Verschlüsselung mittels Advanced Encryption Standard (AES) aktualisiert wurden.
   
• Ferncodeausführung durch Upload beliebiger Dateien (CVE-2025-34181) 
  Wurde der NetSupport Manager Gateway Key kompromittiert und darüber eine Authentifizierungsverbindung hergestellt, konnte ein Angreifer über eine PUTFILE-Anfrage mittels Pfadtraversierung Dateien außerhalb der vorgesehenen Anwendungsverzeichnisse schreiben. Dies wurde durch die korrekte Bereinigung und Validierung der Eingaben für die PUTFILE-Anfragen behoben, um sicherzustellen, dass keine Dateien außerhalb der vorgesehenen Anwendungsverzeichnisse geschrieben werden können.

Die Informationen des Herstellers zu diesen Sicherheitslücken finden Sie unter https://www.netsupportmanager.com/fixes/ 

NetSupport hat Sicherheitsupdates für die folgenden Versionen von NetSupport Manager bereitgestellt:

Die neuesten Versionen von NetSupport Manager 14.12.0001 und NetSupport Notify 5.11.0001 können in unserem Download Center heruntergeladen werden. Bitte melden Sie sich mit Ihren Zugangsdaten an oder registrieren Sie sich vorab, um das Download durchführen zu können.

NetSupport hat auch Korrekturen für die Versionen NetSupport Manager ab 12.70.0000 bis 14.10.0007 bereitgestellt. Sollten Sie noch eine dieser Versionen produktiv einsetzen, dann melden Sie sich bitte über unser Kontaktformular und wir bemühen uns, Ihnen zeitnah eine gepatchtes Update zur Verfügung zu stellen. 

Bitte halten Sie zur Installation der Fixes Ihre Produktlizenzdaten bereit.

Download Center

Für wen sind die Updates verfügbar?

Ihr Vorteil durch einen Hidden Champion: Auch Kunden ohne gültigen Wartungsvertrag erhalten das Sicherheitsupdate kostenlos. Wir bieten die letzten 3 Versionen von NetSupport Manager PC-Fernwartung sowie die letzte Version der Alarmierungssoftware NetSupport Notify in unserem Download Center an. Bitte melden Sie sich über unser Kontaktformular, wenn Sie eine andere Version im Einsatz haben. Wir prüfen dann die Verfügbarkeit für Ihren Anwendungsfall.   

Ausführliche Informationen zum Aktualisieren und Sichern Ihrer NetSupport Manager-Installation finden Sie im FAQ-Artikel auf der Herstellerseite oder in unserem FAQ-Beitrag Konfiguration, Installation und Verteilung von NetSupport Software .

NetSupport verpflichtet sich, für eine robuste Sicherheit unserer gesamten Produktpalette zu sorgen. In diesem Zusammenhang haben wir eine umfassende interne Überprüfung aller unserer Lösungen durchgeführt und arbeiten weiterhin mit einer von CREST zugelassenen Organisation für Penetrationstests zusammen, um unsere Produktpalette zu evaluieren.