1 Update für verinice-REST-Service schließt Schwachstelle 2 IT-Grundschutz-Profiler veröffentlicht 3 Aktualisierung der ISO/IEC 2700x-Familie 4 Aufzeichnungen der verinice.XP 2022

English version below.

1 Update für verinice-REST-Service schließt Schwachstelle

Kürzlich wurde eine - mittlerweile als Spring4Shell bekannte - Schwachstelle im Spring-Framework entdeckt. Sie ist als CVE-2022-22965 registriert.

verinice.PRO ist nur unter bestimmten Voraussetzungen betroffen: Nur dann, wenn der verinice-REST-Service auf dem Server installiert ist. In einer Standardinstallation von verinice.PRO ist der verinice-REST-Service grundsätzlich nicht enthalten. Die verinice-Einzelplatzversion ist von dieser Schwachstelle gar nicht betroffen.

Da der verinice-REST-Service unter bestimmten Umständen von der Schwachstelle betroffen sein kann, hat das verinice-Team eine neue Version dieser Anwendung erstellt. Diese schließt die Schwachstelle und ist verfügbar über das verinice-GitHub-Repository:

https://github.com/SerNet/verinice-rest-service/releases/tag/0.5

Wir empfehlen ein Update auf diese neue Version 0.5, wenn der verinice-REST-Service bei Ihnen installiert ist.

2 Neue IT-Grundschutz-Profile mit verinice erstellen und pflegen

Mit dem IT-Grundschutz-Profiler für verinice können ab sofort komfortabel eigene IT-Grundschutz-Profile erstellt, gepflegt und auch beim BSI eingereicht werden. Unternehmen oder Behörden können so unkompliziert mithilfe des Open-Source-ISMS-Werkzeugs IT-Grundschutz-Profile für bestimmte Anwendungsfälle erstellen und im Anschluss weiteren Interessierten bereitstellen.

Das verinice-Team hat den IT-Grundschutz-Profiler als Zusatzprodukt für verinice veröffentlicht, er kann - kostenlos - über den verinice.SHOP bezogen werden: https://shop.verinice.com/de/content/it-gs-profil

3 Aktualisierung der ISO/IEC 2700x-Familie

International Organization for Standardization (ISO) und International Electrotechnical Commission (IEC) arbeiten an einer Aktualisierung der ISO/IEC 2700x-Familie. Die Veröffentlichung der ISO/IEC 27001:2022 steht voraussichtlich im Zeitraum Mai bis Oktober 2022 bevor - die überarbeitete ISO/IEC 27002:2022 ist seit 15. Februar 2022 verfügbar. Auch für verinice-Anwender*innen, die mit dem Open-Source-ISMS-Tool der SerNet GmbH ein ISMS nach ISO 27001 betreiben, werden sich Neuerungen ergeben.

Das verinice-Team informiert dazu in diesem News-Beitrag: https://verinice.com/news/detail/aktualisierung-der-iso-iec-2700x-familie

4 Aufzeichnungen der verinice.XP 2022

Die Aufzeichnungen der verinice.XP 2022 sind nun öffentlich verfügbar. Alle Vorträge sind im YouTube-Kanal des verinice-Teams zugänglich:

https://www.youtube.com/c/verinice

Das Team freut sich auf Ihre Kommentare zu den Videos - und natürlich Ihren Besuch der verinice.XP 2023 (22. bis 23. Februar 2023, Radisson Collection Hotel, Berlin).

Ein Dank gilt nochmals den diesjährigen Sponsoren Cassini Consulting, KIX/c.a.p.e IT und der neam IT-Services GmbH.

----------------------------------------------------------------

Subject: Security update for verinice-REST-Service / IT-Grundschutz-Profiler / ISO 2700x:2022 / Records of verinice.XP 2022

1 Update for verinice-REST-Service closes vulnerability 2 IT-Grundschutz Profiler published 3 Update of the ISO/IEC 2700x Family 4 Records of the verinice.XP 2022

1 Update for verinice REST service closes vulnerability

A vulnerability - now known as Spring4Shell - was discovered in the Spring framework. It is registered as CVE-2022-22965, technical details can be found in this article, among others: https://snyk.io/blog/spring4shell-zero-day-rce-spring-framework-explained/

verinice.PRO is only affected under certain conditions: Only if the verinice-REST-Service is installed on the server. In a standard installation of verinice.PRO, the verinice REST service is generally not included. The verinice single-user version is not affected by this vulnerability at all.

Since the verinice REST service can be affected by the vulnerability under certain circumstances, the verinice team has created a new version of this application. This closes the vulnerability and is available via the verinice GitHub repository:

https://github.com/SerNet/verinice-rest-service/releases/tag/0.5

We recommend updating to this new version 0.5 if you have the verinice REST service installed.

2 Create and maintain new IT-Grundschutz Profiles with verinice

With the IT-Grundschutz Profiler for verinice, it is now possible to conveniently create and maintain your own IT-Grundschutz Profiles and also submit them to the BSI. Companies or authorities can thus easily create IT-Grundschutz profiles for specific use cases with the help of the open-source ISMS tool and subsequently make them available to other interested parties.

The verinice team has published the IT-Grundschutz Profiler as an add-on product for verinice; it can be obtained - free of charge - via the verinice.SHOP: https://shop.verinice.com/de/content/it-gs-profil

At the moment, the IT Grundschutz Profiler is only available im German.

3 Update of the ISO/IEC 2700x family

International Organization for Standardization (ISO) and International Electrotechnical Commission (IEC) are working to update the ISO/IEC 2700x family. ISO/IEC 27001:2022 is expected to be published between May and October 2022 - the revised ISO/IEC 27002:2022 has been available since February 15, 2022. There will also be changes for verinice users who operate an ISMS according to ISO 27001 using the open source ISMS tool from SerNet GmbH.

The verinice team informs about this in this article: https://verinice.com/en/news/detail/update-of-the-iso-iec-2700x-family

4 Recordings from the verinice.XP 2022

The recordings of verinice.XP 2022 are now publicly available. All presentations are accessible on the YouTube channel of the verinice team:

https://www.youtube.com/c/verinice

The team looks forward to your comments on the videos - and of course your visit to verinice.XP 2023 (22-23 February 2023, Radisson Collection Hotel, Berlin).

Thanks again to this year's sponsors Cassini Consulting, KIX/c.a.p.e IT and neam IT-Services GmbH.