Sehr geehrte Kunden, liebe Anwender,
Qlik hat am letzten Donnerstag (29.11.2018) ein neues sog. Service Releases für alle Hauptversionen (11.20, 12.00, 12.10 oder 12.20) von QlikView veröffentlicht. Das neue Service-Release enthält eine Korrektur für eine sicherheitsrelevante Schwachstelle. Alle Details sind in diesem Beitag erklärt.
In Kurzform: Im QlikView Server wurde eine Schwachstelle identifiziert und korrigiert, die es einem Benutzer ermöglicht, Dateien die im Dateisystem des Servers abgelegt sind, zu kopieren bzw. herunterzuladen. Ausgelöst durch eine unzureichende Absicherung von Benutzereingaben im Browser konnten die Browser-Anfragen manipuliert werden, so dass Dateien vom Server angefordert werden konnten, auf die der Benutzer eigentlich keinen Zugriff haben sollte. Diese Art von Schwachstelle wird allgemein als Directory Traversal bezeichnet.
Die Fehlerbehebung ist in folgenden Versionen bzw. Service-Releases erfolgt:
11.20 SR18 (29. Nov. 2018)
12.00 SR6 (29. Nov. 2018)
12.10 SR10 (29. Nov. 2018)
12.20 SR8 (29. Nov. 2018)
12.30 November 2018 benötigt kein Update
Wir empfehlen Ihnen das Service Release kurzfristig einzuspielen. Das aktuellen Service Releases der Versionen 11.20 finden Sie bei uns im Service-Portal als Download. Als Update für die 12.x Version nutzen Sie bitte die Version 12.30 (November 2018)
Hinweis: Wenn Sie DRG-View 7.x einsetzen, bleiben Sie bei der Version 11.20 und aktualisieren Sie bitte nicht ohne Rücksprache mit uns auf QlikView 12.x.
Ihr Transact Team