Es kommt sehr selten vor, dass es in einer Qlik Software eine Sicherheitslücke gibt, was die Software zu einem sehr sicheren Produkt macht. Dadurch hat auch niemand wirklich einen Fokus darauf.
Nun hat die Qlik gerade eine schwerwiegende Sicherheitslücke bekannt gegeben und diese auch gleich mit entsprechenden Updates geschlossen. Diese Updates müssen aber unbedingt zeitnah erfolgen, da Qlik Sense keine automatischen Updates macht - diese müssen manuell erfolgen.
In diesem Artikel erklären wir die Sicherheitslücke und was Du tun musst, um sie zu schließen.
Welche Versionen sind betroffen?
Betroffen ist nur Qlik Sense Enterprise for Windows, also die lokal installierte Version von Qlik Sense:
Bitte prüfe, welche Version Dein Qlik Sense Server for Windows hat. Alle Versionen von Qlik Sense Enterprise für Windows vor und einschließlich dieser Versionen sind betroffen:
- Mai 2023 Patch 3
- Februar 2023 Patch 7
- November 2022 Patch 10
- August 2022 Patch 12
Wenn Du eine dieser Versionen, oder eine ältere Version einsetzt, musst Du unbedingt ein Update machen.
Die Meldung der Qlik
Hier eine deutsche Übersetzung der offiziellen Qlik Meldung:
„Es wurden zwei Sicherheitslücken in Qlik Sense Enterprise für Windows identifiziert und Patches zur Verfügung gestellt. Wenn die beiden Schwachstellen kombiniert und erfolgreich ausgenutzt werden, können diese Probleme zu einer Kompromittierung des Servers führen, auf dem die Qlik Sense-Software läuft, einschließlich einer nicht authentifizierten Remotecodeausführung (RCE).
Diese Schwachstellen wurden von Adam Crosser und Thomas Hendrickson von Praetorian identifiziert und an Qlik gemeldet. Es sind keine Berichte über deren Ausnutzung eingegangen.
Betroffene Software
Alle Versionen von Qlik Sense Enterprise für Windows vor und einschließlich dieser Versionen sind betroffen:
- Mai 2023 Patch 3
- Februar 2023 Patch 7
- November 2022 Patch 10
- August 2022 Patch 12
Schweregrad-Einstufung
Unter Verwendung des CVSS V3.1-Bewertungssystems (https://nvd.nist.gov/vuln-metrics/cvss) stuft Qlik eine als hochgradig schwerwiegend und eine als kritisch ein.
Details zur Sicherheitsanfälligkeit
CVE-2023-41266 (QB-21220) Pfadüberwindung in Qlik Sense Enterprise für Windows
Schweregrad: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N (8.2 hoch)
Aufgrund einer unsachgemäßen Validierung von Benutzereingaben ist es für einen nicht authentifizierten Angreifer möglich, eine anonyme Sitzung zu erzeugen, die es ihm ermöglicht, HTTP-Anfragen an nicht autorisierte Endpunkte zu stellen.
CVE-2023-41265 (QB-21222) HTTP-Tunneling-Schwachstelle in Qlik Sense Enterprise für Windows
Schweregrad: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N (9.6 kritisch)
Aufgrund einer unsachgemäßen Validierung von HTTP-Headern kann ein entfernter Angreifer seine Privilegien erhöhen, indem er HTTP-Anfragen tunnelt und so HTTP-Anfragen auf dem Backend-Server, der die Repository-Anwendung hostet, ausführen kann.
Empfehlung
Kunden sollten Qlik Sense Enterprise für Windows auf eine Version aktualisieren, die Fixes für diese Probleme enthält. Fixes sind für die folgenden Versionen verfügbar:
- August 2023 Erstes Release
- Mai 2023 Patch 4
- Februar 2023 Patch 8
- November 2022 Patch 11
- August 2022 Patch 13
Die gesamte Qlik-Software kann von unserer offiziellen Qlik-Download-Seite heruntergeladen werden (Kunden-Login erforderlich).“
Was musst Du jetzt tun?
Wenn Dein Qlik Sense Enterprise for Windows betroffen ist, musst Du so schnell wie möglich ein Update auf Deinem Qlik Sense Server machen - denn spätestens jetzt kennt jeder Hacker diese Lücke.
Wenn folgende Versionen für Qlik Sense Enterprise for Windows installiert sind, ist alles in Ordnung:
- August 2023 Erstes Release
- Mai 2023 Patch 4
- Februar 2023 Patch 8
- November 2022 Patch 11
- August 2022 Patch 13
Wenn eine niedrigere Version eingesetzt wird, sollte unbedingt zeitnah ein Update erfolgen!
Beispiel: Die Version Mai 2023 SR4 ist sicher. Wenn auf Deinem Qlik Sense Server z.B. Mai 2023 SR3 installiert ist, muss unbedingt ein Update auf Mai 2023 SR4 oder August 2023 IR (Initial Release) erfolgen.
Wir helfen Dir!
Wir helfen Dir gerne beim Überprüfen Deiner Qlik Sense Umgebung und erledigen auch das Update für Dich.
Schreib uns einfach eine kurze Nachricht und wir melden uns so schnell wie möglich bei Dir:
Anrufen ist auch was Schönes: +49 40 60946300
Oder: Du kannst auch direkt einen unverbindlichen Online-Termin vereinbaren.
