Sicherheits­lücke in Qlik Sense Enterprise

Die beiden Sicherheitslücken sind als CVE-2023-41266 und CVE-2023-41265 bekannt. Betroffen sind alle bisherigen Versionen von Qlik Sense Enterprise für Windows:

• Mai 2023 Patch 3
• Februar 2023 Patch 7
• November 2022 Patch 10
• August 2022 Patch 12

und vorherige. Qlik Cloud oder QLikView sind NICHT betroffen.

UPDATE !!! Es gab ein weiteres kritisches Sicherheitsproblem (Stand 09.2023). Alle wichtigen Infos finden Sie auf unserer aktuellen Seite: Kritische Sicherheits­­lücke Qlik Sense Enterprise 09/2023.

Es gibt keine Workarounds für diese Sicherheitsprobleme. Daher ist die einzige empfohlene Maßnahme ein Upgrade auf eine der neuesten Versionen, die bereits die erforderlichen Fixes enthalten:

• August 2023 Initial Release
• Mai 2023 Patch 4
• Februar 2023 Patch 8
• November 2022 Patch 11
• August 2022 Patch 13

Alle Authentifizierungsmethoden sind von diesen Sicherheitslücken betroffen.

HTTP und HTTPS
Die Sicherheitslücken betreffen sowohl HTTP als auch HTTPS. Selbst wenn HTTP deaktiviert ist, bleibt die Umgebung anfällig. Die Angriffe sind unabhängig davon, ob die HTTP-Kommunikation verschlüsselt ist oder nicht.

Dadurch können sich Dritte unauthorisierten Zugriff auf das Qlik System verschaffen und Anfragen an nicht freigegebene Endpunkte stellen.

➡ Die Sicherheitslücken wurden von Qlik als „hoch“ und „kritisch“ eingestuft. Zudem empfiehlt der Hersteller den Proxy nicht dem öffentlichen Internet auszusetzen, um die Angriffsfläche zu verringern.

Die Identifizierung dieser Sicherheitslücken in Qlik Sense Enterprise für Windows ist ein ernstes Anliegen, das sofortiges Handeln erfordert. Da es keine Workarounds gibt, ist ein Upgrade die einzige Möglichkeit, sich vor möglichen Angriffen zu schützen. Es ist wichtig, die neuesten Sicherheitsupdates und Patches zu installieren, um die Integrität Ihrer Daten und Systeme zu gewährleisten.

Auf der offiziellen Qlik Community-Seite erhalten Sie weitere Informationen rund um die Sicherheitslücke in Qlik Sense.