L’équipe DDP Decision vous fait part d’une information importante
Qlik vient de sortir un bulletin de sécurité pour une vulnérabilité (8,8) concernant Qlik Sense Entreprise pour Windows, des patchs viennent d’être mis à disposition.
Qlik recommande fortement cette mise à jour.
Résumé
Des problèmes de sécurité ont été identifiés dans Qlik Sense Enterprise pour Windows et des correctifs ont été mis à disposition.
Si les vulnérabilités sont exploitées avec succès, ces problèmes pourraient entraîner une compromission du serveur exécutant le logiciel Qlik Sense, y compris l’exécution de code à distance (RCE).
Ce problème a été découvert par Qlik lors de tests de sécurité internes et aucun rapport faisant état d’une exploitation malveillante n’a été reçu.
CVE-2024-xxxx (en attente) : QB-29918, QB-29750 exécution de code à distance (RCE) via des connecteurs
Gravité : CVSS : 3,1/AV : N/AC : L/PR : N/UI : R/S : U/C : H/I : H/A : H 8,8 (élevée)
Les utilisateurs non privilégiés disposant d’un accès réseau peuvent créer des objets de connexion qui déclenchent l’exécution de fichiers EXE arbitraires sur Qlik Sense Enterprise pour Windows.
CVE-2024-xxxx (en attente) : QB-29586, QB-29864, QB-29482, QB-29802 – contrôle d’accès brisé (BAC)
Gravité : CVSS : 3,1/AV : N/AC : H/PR : N/UI : R/S : U/C : H/I : H/A : H 7,5 (élevée)
Les utilisateurs non privilégiés disposant d’un accès réseau à l’installation de Qlik Sense pour Windows peuvent être en mesure d’exécuter des commandes à distance susceptibles d’entraîner des dommages en termes de haute disponibilité, notamment des risques élevés d’intégrité et de confidentialité.
Cote de gravité : en utilisant le système de notation CVSS V3.1 (https://nvd.nist.gov/vuln-metrics/cvss), Qlik évalue cette gravité comme élevée.
Logiciels concernés : toutes les versions de Qlik Sense Enterprise pour Windows suivantes et antérieures sont impactées :
- Patch 9 de mai 2024
- Patch 13 de février 2024
- Patch 15 de novembre 2023
- Patch 15 d’août 2023
- Patch 17 de mai 2023
- Patch 14 de février 2023
Résolution
Les clients doivent mettre à niveau Qlik Sense Enterprise for Windows vers une version contenant des correctifs pour ces problèmes.
Les versions suivantes intègrent les correctifs de cette vulnérabilité :
- Sortie initiale de novembre 2024
- Patch 10 ou 11 de mai 2024 (tous deux valides)
- Patch 14 ou 15 de février 2024 (tous deux valides)
- Patch 16 ou 17 de novembre 2023 (tous deux valides)
- Patch 16 ou 17 d’août 2023 (tous deux valides)
- Patch 18 ou 19 de mai 2023 (tous deux valides)
- Patch 15 ou 16 de février 2023 (tous deux valides)
Tous les logiciels Qlik peuvent être téléchargés à partir de la page de téléchargement officielle Qlik (connexion client requise).
Nous restons à votre disposition pour tout complément d’information.
Si besoin, nous vous invitons à ouvrir un ticket dans notre extranet client Support DDP.
