Kritische Sicherheitslücke Qlik Sense - Update 09/23

Kritische Sicherheits­­lücke Qlik Sense Enterprise 09/2023.

Update!

Zum zweiten Mal innerhalb kurzer Zeit gab es im September 2023 ein Sicherheitsproblem bei der On Premise Version von Qlik Sense. Neue Sicherheits­patches sind bereits verfügbar.

Details zu der neuen Sicherheitslücke

Qlik veröffentlichte am 20. September neue Service Releases mit denen eine neu erkannte Sicherheitslücke in Qlik Sense Enterprise für Windows geschlossen wird.

Hintergrund ist eine Schwachstelle im HTTP Header. Darüber können unautorisierte Nutzer ihre Rechte im Qlik Server ändern und so gegebenenfalls Abfragen ausführen (RCE remote Code execution). Dies betrifft hauptsächlich öffentlich zugängliche Qlik Sense Server (Qlik Sense Enterprise für Windows), insbesondere wenn deren IP-Adresse bekannt ist.

Wichtig! Produkte wie die Qlik Cloud und QlikView sind NICHT betroffen.

Falls eine Veröffentlichung des Qlik Servers außerhalb der eigenen Organisation zwingend nötig ist, empfehlen wir die Absicherung bzw. Verschleierung der IP-Adresse.

Das ist jetzt zu tun

Führen Sie bitte ein Update Ihrer Qlik Lösung durch, wenn Sie eine Version vor und einschließlich dieser Releases nutzen:

  • August 2023 Patch 1
  • Mai 2023 Patch 5
  • Februar 2023 Patch 9
  • November 2022 Patch 11
  • August 2022 Patch 13
  • Mai 2022 Patch 15
  • Februar 2022 Patch 14
  • November 2021 Patch 16

Folgende aktualisieren Versionen enthalten die Korrekturen für die oben beschriebenen Probleme:

  • August 2023 Patch 2
  • Mai 2023 Patch 6
  • Februar 2023 Patch 10
  • November 2022 Patch 12
  • August 2022 Patch 14
  • Mai 2022 Patch 16
  • Februar 2022 Patch 15
  • November 2021 Patch 17

Die aufgelisteten Fixes adressieren auch CV-2023-41266 und CVE-2023-41265

In unserem letzten Post Schwerwiegende Sicherheitslücke in Qlik Sense Enterprise, finden Sie alle Informationen zu den vorherigen Sicherheitsproblemen.

Die neuen Qlik Releases können über die Qlik-Download-Seite heruntergeladen werden.

Sie benötigen Unterstützung bei Ihrem Update?

Rufen Sie uns an.

Jetzt telefonisch kontaktieren
Markus Michelfeit von inics