Nachdem der EGVP-Bürgerclient abgekündigt wurde, hat Governikus KG eine Nachfolgeprodukt, den Governikus Communicator Justiz-Edition zur Verfügung gestellt.
Heute erreicht mich – und wohl andere Kollegen auch – eine Mail von Governikus in der u.a. folgendes mitgeteilt wird:
Diese potenzielle Sicherheitslücke ist in einer neueren Version des Updaters geschlossen. Wir haben in unserem Downloadportal eine entsprechend neue Version für Sie bereitgestellt.
https://******.governikus.de/
Benutzername: ****
Passwort: *******Nach dem Login werden Ihnen direkt die zum Download bereitstehende Installer-Datei sowie der zugehörige Hashwert zur Prüfung angezeigt. Für Rückfragen stehen wir Ihnen gerne zur Verfügung.
Die Seite verfügt über ein Zertifikat und bietet nach dem Login tatsächlich den Download eines Installers an, allerding ist dieser NICHT signiert:
Bei den Zugangsdaten scheint es sich in allen E-Mail um die gleichen Zugangsdaten zu handeln.
Eine solche Rundmail Freitag Nachmittags zu versenden kann ebenfalls als dubios empfunden werden.
Was soll man davon halten: Auch hier werden Sicherheitslücken nicht richtig kommuniziert. Installer werden nicht signiert und damit ist nicht sichergestellt, wer den Installer kompiliert hat. Dies, obwohl die Firma sich mit Signaturprodukten befasst,
Unklar ist für mich auch, ob auch diese neue Version von der Zulassung umfasst ist…
In der Zulassung wird explizit die Version 3.6.0.0 des Communicators benannt:
https://egvp.justiz.de/Drittprodukte/Drittprodukt_Governikus_communicator_Version_1_2.pdf
ERV macht das Anwaltsleben spannend…
Nachtrag:
Eine Stellungnahme von Governikus, die über Twitter am 3. Februar verbreitet wurde ist nunmehr hier zu finden.