Problembehebung – Allgemein

Sicherheitsforscher haben kürzlich drei Sicherheitslücken im Zusammenhang mit dem Spring Framework entdeckt, die die Remote-Ausführung von Code ermöglichen (CVE-2022-22965, CVE-2022-22963, CVE-2022-22947). Darüber hinaus wurde eine DoS-Sicherheitslücke mit mittlerem Gefahrengrad (CVE-2022-22950) bei Spring entdeckt.

Das Sicherheitsteam von Udemy hat die Udemy-Systeme seit der Entdeckung dieser Probleme sorgfältig überprüft und entsprechende Schutzmaßnahmen ergriffen. Zurzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücken negative Auswirkungen auf Unternehmens- oder persönliche Daten hatten.

Bei derart hochgefährlichen Sicherheitslücken ergreifen unsere Teams eine Reihe von Sofortmaßnahmen: Sie testen, ob unsere Systeme von der Sicherheitslücke betroffen sind, beschränken Netzwerkverbindungen und wenden Software- und/oder Systemupdates bzw. Umgehungslösungen an, wo dies nötig ist. Unsere Sicherheits- und Technikteams werden unser gesamtes System sowie essenzielle Verarbeitungspartner und Anbieter kontinuierlich auf Vorhandensein dieser Sicherheitslücken, Angriffsversuche und Meldungen von Dritten, die für uns arbeiten, überwachen.

Wenn wir über neue Informationen verfügen, wird diese Seite entsprechend aktualisiert. Unser Sicherheitsteam arbeitet kontinuierlich daran, unsere Systeme gemäß den aktuellen Empfehlungen der Sicherheitsforscher abzusichern, und kann daher zurzeit keine individuellen Maßnahmen bereitstellen. Genauere Infos zu unserer Herangehensweise findest du in den folgenden Antworten auf häufig gestellte Fragen. 

Wurde ein Update auf eine sicherere Version des Spring Framework durchgeführt?

Wir ergreifen an allen Stellen, an denen zuvor gefährdete Versionen des Spring Framework oder damit zusammenhängende Produkte verwendet wurden, Abhilfemaßnahmen, z. B. ein Upgrade auf eine empfohlene neuere Version oder die Implementierung empfohlener Umgehungslösungen. Darüber hinaus haben wir unsere mehrschichtigen Schutzmaßnahmen angepasst, um unsere Systeme rundum besser abzusichern.

Wann sind die Sicherheitsmaßnahmen abgeschlossen?

Da sich die Muster der Angriffe auf die Sicherheitslücken beim Spring Framework zurzeit ständig ändern und weiterentwickeln, verfolgt unser Sicherheitsteam die Hinweise von Sicherheitsexperten und -anbietern und wird bei der Veröffentlichung von neuen Empfehlungen entsprechende Abhilfe- und Schutzmaßnahmen ergreifen. 

Wurden Kundendaten kompromittiert?

Zurzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücke negative Auswirkungen auf Unternehmens- oder persönliche Daten hatte. 

Werden externe Anbieter, die in den Udemy-Systemen verwendet werden, dazu befragt, ob und wie sie von den Problemen beim Spring Framework betroffen sind?

Wir haben wichtige externe Verarbeitungspartner kontaktiert und nehmen Updates, die von den Anbietern bereitgestellt werden, an betroffenen Anwendungen und Tools vor.

Wenn deine Nutzer über dein Unternehmensnetzwerk auf ihre Udemy Business-Konten zugreifen, muss der zuständige IT-Administrator möglicherweise einige Domains und Subdomains auf die Zulassungsliste setzen, damit bestimmte Funktionen ordnungsgemäß funktionieren. 

In diesem Artikel wird erklärt, welche Domains und Subdomains für bestimmte Funktionen von Udemy Business möglicherweise auf die Zulassungsliste gesetzt werden müssen.

Content (Video-Streaming) auf die Zulassungsliste setzen

Wenn beim Video-Streaming und der Content-Nutzung über dein Unternehmensnetzwerk deutliche Leistungsprobleme auftreten, z. B. Verzögerungen bei der Wiedergabe, solltest du die von Udemy Business verwendete Video-Streaming-Domain auf die Zulassungsliste setzen.

Bitte den zuständigen IT-Administrator, die folgende Video-Streaming-Domain in den Firewalls/Gateways deines Netzwerks auf die Zulassungsliste zu setzen, damit deine Nutzer den Udemy Business-Content problemlos ansehen können: *.udemycdn.com.

Treten weiterhin Probleme beim Streaming auf? Falls das Problem weiterhin auftritt, nachdem diese Domains auf die Zulassungsliste gesetzt wurden, bitte die betroffenen Nutzer, den Udemy Business-Support zu kontaktieren und eine HAR-Datei mitzusenden. Die Informationen in dieser HAR-Datei helfen unseren Technikern, die Ursache zu ermitteln und eine entsprechende Lösung zu finden.

E-Mail-Domains auf die Zulassungsliste setzen

Wenn die Firewalls deines Unternehmens sehr strikte Einstellungen haben (d. h. bestimmte populäre Websites blockiert werden), musst du die folgenden E-Mail-Domains und sämtliche Subdomains von Udemy Business auf die Zulassungsliste setzen, damit Service-E-Mails wie Einladungen, Anleitungen zur Passwortzurücksetzung usw. zugestellt werden können.

• a) *.udemy.com 
• b) *.udemymail.com

Wichtiger Hinweis: Checke bitte bei deinem E-Mail-Anbieter, wie du alle Subdomains einer bestimmten Domain auf die Zulassungsliste setzt, je nach E-Mail-Anbietern gibt es dafür nämlich unterschiedliche Methoden. Wenn die Subdomains nicht korrekt in der Zulassungsliste angegeben sind, wird die Zustellung der E-Mails von Udemy Business von diesen Domains möglicherweise blockiert.

Downloads von Berichten auf die Zulassungsliste setzen 

Wenn die Firewalls deines Unternehmens sehr strikte Einstellungen haben (d. h. bestimmte populäre Websites blockiert werden), musst du die folgende Website auf die Zulassungsliste setzen, damit Berichte problemlos heruntergeladen werden können.

• *amazon.com

Labs und Workspaces auf die Zulassungsliste setzen (Nutzer von Udemy Business Pro)

Nutzer von Udemy Business Pro, die aus dem Netzwerk ihres Unternehmens auf Udemy Business zugreifen, müssen die folgenden Domains vom zuständigen IT-Administrator auf die Zulassungsliste setzen lassen, damit Workspaces und Labs ordnungsgemäß funktionieren.

• *.udemy.com
• *.udemycdn.com
• *.udemylabs.com
• *.vocareum.com
• *.amazon.com

Für Azure empfohlene Einträge in die Zulassungsliste

In diesem Artikel von Microsoft wird erklärt, welche Einträge in die Zulassungsliste Microsoft für Azure empfiehlt.

Sicherheitsforscher haben kürzlich eine Sicherheitslücke entdeckt, die die Remote-Ausführung von Code ermöglicht (CVE-2021-44228). Sie betrifft das Tool Log4J von Apache, ein zur Protokollierung verwendetes Java-Dienstprogramm, das von sehr vielen Software-Anbietern verwendet wird.

Das Sicherheitsteam von Udemy hat die Udemy-Systeme seit der Entdeckung dieses Problems sorgfältig überprüft und entsprechende Schutzmaßnahmen ergriffen. Zurzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücke negative Auswirkungen auf Unternehmens- oder persönliche Daten hatte. Wir bleiben aber selbstverständlich dran und prüfen weiterhin kontinuierlich, ob sich diese Sicherheitslücke auf unsere Infrastruktur und Anwendungen auswirkt. 

Bei derart hochgefährlichen Sicherheitslücken ergreifen unsere Teams eine Reihe von Sofortmaßnahmen: Sie testen, ob unsere Systeme von der Sicherheitslücke betroffen sind, beschränken Netzwerkverbindungen und wenden Software- und/oder Systemupdates bzw. Umgehungslösungen an, wo dies nötig ist. Unsere Sicherheits- und Engineering-Teams werden unser gesamtes System sowie wichtige Verarbeitungspartner und Anbieter kontinuierlich auf Vorhandensein dieser Sicherheitslücke, Angriffsversuche und Meldungen von Dritten, die für uns arbeiten, überwachen.

Wenn wir über neue Informationen verfügen, wird diese Seite entsprechend aktualisiert. Unser Sicherheitsteam arbeitet kontinuierlich daran, unsere Systeme gemäß den aktuellen Empfehlungen der Sicherheitsforscher abzusichern, und kann daher zurzeit keine individuellen Maßnahmen bereitstellen. Genauere Infos zu unserer Herangehensweise findest du in den folgenden Antworten auf häufig gestellte Fragen. 

Habt ihr auf eine sicherere Version von Log4J (2.0-2.14.1) aktualisiert?

An allen Stellen, an denen zuvor gefährdete Versionen von Log4J verwendet wurden, haben wir Abhilfemaßnahmen ergriffen, z. B. auf eine empfohlene neuere Version aktualisiert oder empfohlene Umgehungslösungen implementiert. Darüber hinaus haben wir unsere mehrschichtigen Schutzmaßnahmen angepasst, d. h. ein- und ausgehende Netzwerkverbindungen zusätzlich eingeschränkt, um unsere Systeme besser abzusichern.

Wann sind die Sicherheitsmaßnahmen abgeschlossen?

Da sich die Muster der Angriffe auf die Log4J-Sicherheitslücke zurzeit ständig ändern und weiterentwickeln, verfolgt unser Sicherheitsteam die Hinweise von Sicherheitsexperten und -anbietern und wird bei der Veröffentlichung von neuen Empfehlungen entsprechende Abhilfe- und Schutzmaßnahmen ergreifen. 

Wurden Kundendaten kompromittiert?

Zurzeit gibt es keine Hinweise darauf, dass diese Sicherheitslücke negative Auswirkungen auf Unternehmens- oder persönliche Daten hatte. 

Befragt ihr externe Anbieter, die in euren Systemen verwendet werden, wie sie von Log4J betroffen sind?

Udemy hat externe Anbieter kontaktiert und hat Updates, die von betroffenen Anbietern bereitgestellt wurden, an den jeweiligen Anwendungen und Tools vorgenommen. Darüber hinaus behalten wir von Sicherheitsexperten zusammengestellte Listen im Auge und werden Sicherheitsmaßnahmen, die für bestimmte Tools empfohlen werden, umgehend umsetzen.

Wenn deine Nutzer sich nicht bei deinem Udemy Business-Konto anmelden können, obwohl sie eingeladen wurden, bitte sie als Erstes, ihr Passwort zurückzusetzen. Wenn das Problem weiterhin besteht, bitte den betroffenen Nutzer, ein Support-Ticket zu eröffnen. Ein Mitglied unseres Support-Teams wird dann innerhalb von 24 Stunden melden.

Wenn du für Udemy Business SSO (Single Sign-On) eingerichtet hast, dann frage bitte bei der IT-Abteilung deines Unternehmens nach, ob den Nutzern wirklich Zugriff auf Udemy Business über den SSO-Provider gewährt wurde.

Wenn die Firewalls deines Unternehmens sehr strikte Einstellungen haben (d. h. bestimmte populäre Websites blockiert werden), müssen die Udemy-E-Mail-Domains auf die Zulassungsliste gesetzt werden, damit die Passwortzurücksetzung funktioniert: Hier wird erklärt, wie die von Udemy Business verwendeten E-Mail-Domains und -Subdomains auf die Zulassungsliste gesetzt werden.