Kritische Sicherheitslücke Qlik Sense Enterprise 09/2023.
Update!
Zum zweiten Mal innerhalb kurzer Zeit gab es im September 2023 ein Sicherheitsproblem bei der On Premise Version von Qlik Sense. Neue Sicherheitspatches sind bereits verfügbar.
Details zu der neuen Sicherheitslücke
Qlik veröffentlichte am 20. September neue Service Releases mit denen eine neu erkannte Sicherheitslücke in Qlik Sense Enterprise für Windows geschlossen wird.
Hintergrund ist eine Schwachstelle im HTTP Header. Darüber können unautorisierte Nutzer ihre Rechte im Qlik Server ändern und so gegebenenfalls Abfragen ausführen (RCE remote Code execution). Dies betrifft hauptsächlich öffentlich zugängliche Qlik Sense Server (Qlik Sense Enterprise für Windows), insbesondere wenn deren IP-Adresse bekannt ist.
Wichtig! Produkte wie die Qlik Cloud und QlikView sind NICHT betroffen.
Falls eine Veröffentlichung des Qlik Servers außerhalb der eigenen Organisation zwingend nötig ist, empfehlen wir die Absicherung bzw. Verschleierung der IP-Adresse.
Das ist jetzt zu tun
Führen Sie bitte ein Update Ihrer Qlik Lösung durch, wenn Sie eine Version vor und einschließlich dieser Releases nutzen:
- August 2023 Patch 1
- Mai 2023 Patch 5
- Februar 2023 Patch 9
- November 2022 Patch 11
- August 2022 Patch 13
- Mai 2022 Patch 15
- Februar 2022 Patch 14
- November 2021 Patch 16
Folgende aktualisieren Versionen enthalten die Korrekturen für die oben beschriebenen Probleme:
- August 2023 Patch 2
- Mai 2023 Patch 6
- Februar 2023 Patch 10
- November 2022 Patch 12
- August 2022 Patch 14
- Mai 2022 Patch 16
- Februar 2022 Patch 15
- November 2021 Patch 17
Die aufgelisteten Fixes adressieren auch CV-2023-41266 und CVE-2023-41265
In unserem letzten Post Schwerwiegende Sicherheitslücke in Qlik Sense Enterprise, finden Sie alle Informationen zu den vorherigen Sicherheitsproblemen.
Die neuen Qlik Releases können über die Qlik-Download-Seite heruntergeladen werden.