Eine neue kritische Sicherheitslücke in Qlik Sense

Welche Versionen sind betroffen?

Betroffen ist nur Qlik Sense Enterprise for Windows, also die lokal installierte Version von Qlik Sense:

Bitte prüfe, welche Version Dein Qlik Sense Server for Windows hat. Alle Versionen von Qlik Sense Enterprise für Windows vor und einschließlich dieser Versionen sind betroffen:

• August 2023 Patch 1
• Mai 2023 Patch 5
• Februar 2023 Patch 9
• November 2022 Patch 11
• August 2022 Patch 13
• Mai 2022 Patch 15
• Februar 2022 Patch 14
• November 2021 Patch 16

Wenn Du eine dieser Versionen, oder eine ältere Version einsetzt, musst Du unbedingt ein Update machen.

Die Meldung der Qlik

Hier eine deutsche Übersetzung der offiziellen Qlik Meldung:

„Eine Sicherheitslücke in Qlik Sense Enterprise für Windows wurde identifiziert und Patches wurden zur Verfügung gestellt. Wenn diese Schwachstelle erfolgreich ausgenutzt wird, kann sie zu einer Kompromittierung des Servers führen, auf dem die Qlik Sense-Software läuft, einschließlich nicht authentifizierter Remotecodeausführung (RCE). Dies behebt einen unvollständigen Fix für CVE-2023-41265.

Dieses Problem wurde von Adam Crosser und Thomas Hendrickson von Praetorian identifiziert und an Qlik gemeldet. Es sind keine Berichte über deren Ausnutzung eingegangen.

Betroffene Software

Alle Versionen von Qlik Sense Enterprise für Windows vor und einschließlich dieser Versionen sind betroffen: 

- August 2023 Patch 1

- Mai 2023 Patch 5

- Februar 2023 Patch 9

- November 2022 Patch 11

- August 2022 Patch 13

- Mai 2022 Patch 15

- Februar 2022 Patch 14

- November 2021 Patch 16

Schweregrad-Einstufung 

Unter Verwendung des CVSS V3.1-Bewertungssystems (https://nvd.nist.gov/vuln-metrics/cvss) stuft Qlik eine als kritisch ein. 

Details zur Sicherheitsanfälligkeit

CVE-pending (QB-21683) HTTP-Tunneling-Schwachstelle in Qlik Sense Enterprise für Windows

Schweregrad: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N (9.6 Critical)

Aufgrund einer unsachgemäßen Validierung von HTTP-Headern kann ein entfernter Angreifer seine Privilegien durch das Tunneln von HTTP-Anfragen erhöhen und so HTTP-Anfragen auf dem Backend-Server, der die Repository-Anwendung hostet, ausführen. Dies behebt eine unvollständige Korrektur für CVE-2023-41265.

Empfehlung 

Kunden sollten Qlik Sense Enterprise für Windows auf eine Version aktualisieren, die Fixes für diese Probleme enthält. Fixes sind für die folgenden Versionen verfügbar:

- August 2023 SR2
- Mai 2023 SR6 
- Februar 2023 SR10 
- November 2022 SR12 
- August 2022 SR14
- Mai 2022 SR16
- Februar 2022 SR15
- November 2022 SR17

Diese Patches enthalten die Korrekturen für die früheren Probleme CVE-2023-41266 und CVE-2023-41265 (Link).

Die gesamte Qlik-Software kann von unserer offiziellen Qlik-Download-Seite heruntergeladen werden (Kunden-Login erforderlich).“

Was musst Du jetzt tun?

Wenn Dein Qlik Sense Enterprise for Windows betroffen ist, musst Du so schnell wie möglich ein Update auf Deinem Qlik Sense Server machen - denn spätestens jetzt kennt jeder Hacker diese Lücke.

Wenn folgende Versionen für Qlik Sense Enterprise for Windows installiert sind, ist alles in Ordnung:

• August 2023 SR2
• Mai 2023 SR6 
• Februar 2023 SR10 
• November 2022 SR12 
• August 2022 SR14
• Mai 2022 SR16
• Februar 2022 SR15
• November 2021 SR17

Wenn eine niedrigere Version eingesetzt wird, sollte unbedingt zeitnah ein Update erfolgen!

Beispiel: Die Version Mai 2023 SR6 ist sicher. Wenn auf Deinem Qlik Sense Server z.B. Mai 2023 SR3 installiert ist, muss unbedingt ein Update auf Mai 2023 SR6 oder August 2023 SR2 erfolgen.

Bitte beachte, dass Du für ein Upgrade auf ein neues Release immer zuerst das IR (Initial Release) installieren musst, und danach das SR (Service Release).

Beispiel: Du hast auf Deinem Qlik Sense Server Februar 2023 SR8 installiert und möchtest gerne auf Mai 2023 SR6 updaten. Dann musst Du zuerst Mai 2023 IR und danach Mai 2023 SR6 installieren. 

Anrufen ist auch was Schönes: +49 40 60946300

Oder: Du kannst auch direkt einen unverbindlichen Online-Termin vereinbaren.