Qlik, Qlik Sense Enterprise for Windows yazılımında, kötüye kullanılması durumunda uzaktan kod yürütülmesine (RCE) yol açabilecek kritik güvenlik açıklarını belirledi. Bu riskleri azaltmak ve sistem bütünlüğünü sağlamak için güvenlik yamaları yayımlanmıştır.
Qlik’in dahili güvenlik testleri sırasında keşfedilen güvenlik açıkları, Qlik Sense Enterprise for Windows çalıştıran sistemler için önemli bir tehdit oluşturur.
Bir saldırgan bu kusurlardan başarıyla yararlanırsa sunucunun kontrolünü ele geçirebilir, yetkisiz komutlar yürütebilir ve veri gizliliğini ve bütünlüğünü tehlikeye atabilir. Neyse ki bu güvenlik açıklarının kötü niyetli olarak kullanıldığına dair herhangi bir rapor bulunmuyor. Ancak riskleri azaltmak için acil önlem alınması gerekiyor.
KOBİ ve MSP Siber Güvenlik Liderleri için 2024 MITRE ATT&CK Sonuçlarından Yararlanma – Ücretsiz Web Seminerine Katılın
Güvenlik Açığı Ayrıntıları
- Konektörler aracılığıyla Uzaktan Kod Yürütme (RCE)
- CVE beklemede (QB-29918, QB-29750)
- Şiddet: Yüksek (CVSS Puanı: 8,8)
- Açıklama: Ağ erişimine sahip ayrıcalıksız kullanıcılar, isteğe bağlı yürütülebilir dosyaların yürütülmesini tetikleyen bağlantı nesneleri oluşturma potansiyeline sahiptir.
- Bozuk Erişim Kontrolü (BAC)
- CVE beklemede (QB-29586, QB-29864, QB-29482, QB-29802)
- Şiddet: Yüksek (CVSS Puanı: 7,5)
- Açıklama: Bu güvenlik açıkları, yetkisiz kullanıcıların uzaktan komutlar yürütmesine olanak vererek sistemin kullanılabilirliğini, bütünlüğünü ve gizliliğini riske atabilir.
Etkilenen Yazılım
| Sürüm | Darbe |
| Mayıs 2024 Yama 9 | Hassas |
| Şubat 2024 Yaması 13 | Hassas |
| Kasım 2023 Yaması 15 | Hassas |
| Ağustos 2023 Yaması 15 | Hassas |
| Mayıs 2023 Yaması 17 | Hassas |
| Şubat 2023 Yaması 14 | Hassas |
Bu güvenlik açıklarını gidermek için kullanıcıların hemen Qlik Sense Enterprise for Windows’un sabit sürümlerine yükseltmeleri önerilir.
Önerilen güncellemeler arasında Kasım 2024 İlk Sürüm, Mayıs 2024 Yaması 10, Şubat 2024 Yaması 14, Kasım 2023 Yaması 16, Ağustos 2023 Yaması 16, Mayıs 2023 Yaması 18 ve Şubat 2023 Yaması 15 yer alır. Yamalar sorunları çözerek sistem güvenliğini sağlar ve istikrar.
Ek olarak, Depo yapılandırma dosyası değiştirilerek uzantı ve görselleştirme hatalarına yönelik bir geçici çözüm sağlanmıştır. Bu geçici çözüm, halihazırda görselleştirmeyle ilgili zorluklarla karşı karşıya olanlar için yükseltmeden önce veya sonra uygulanabilir.
Sisteminizin kötüye kullanıma karşı korunduğundan emin olmak için yamalı sürümleri resmi Qlik İndirme sayfasından indirin (müşteri oturum açması gerekir).
Müşterilerin bu güncellemeleri derhal uygulamaları ve yardıma ihtiyaç duyulması halinde Qlik Destek ekibine ulaşmaları önemle tavsiye edilir. Bu düzeltmelere öncelik vermek, Qlik Sense Enterprise sunucularınızın olası risklerini önleyecektir.
Analyse Real-World Malware & Phishing Attacks With ANY.RUN - Get up to 3 Free Licenses