Checkmk warnt vor Sicherheitslücken in der gleichnamigen Netzwerk-Überwachungssoftware. Eine betrifft die Windows-Version und verpasst eine Einordnung als kritisches Sicherheitsrisiko nur knapp, eines der weiteren Lecks dürfte Admins hingegen keinen Schlaf rauben.
In der Versionsankündigung zu Checkmk 2.4.0p13, Checkmk 2.3.0p38 sowie Checkmk 2.2.0p46, die die Entwickler am Donnerstag dieser Woche veröffentlicht haben, nennen die Programmierer drei Sicherheitslücken, die mit den Updates geschlossen werden. Am schwerwiegendsten wirkt sich eine Lücke in den Windows-Versionen aus. Laut Schwachstellenbeschreibung ermöglicht die Verwendung eines unsicheren temporären Verzeichnisses im Windows-Lizenz-Plugin für den Checkmk Windows Agent eine Rechteausweitung (CVE-2025-32919 / EUVD-2025-33350, CVSS 8.8, Risiko "hoch").
Außerdem können angemeldete Nutzerinnen und Nutzer eine unzureichende Filterung des Report Scheduler missbrauchen, um Speicherorte für Berichte außerhalb des eigentlich gesetzten Root-Verzeichnisses anzugeben (CVE-2025-39664 / EUVD-2025-33348, CVSS 7.1, Risiko "hoch"). In HTTP-Get-Anfragen von Checkmk können sensible Daten aus Formularen im URL-Query-Parameter landen, die an diversen Stellen wie im Browserverlauf oder den Web-Server-Logdateien protokolliert werden (CVE-2025-32916 / EUVD-2025-33351, CVSS 1.0, Risiko "niedrig").
Die sicherheitsrelevanten Fehler bügelt Checkmk in den Fassungen 2.4.0p13, 2.3.0p38 und 2.2.0p46 aus. Checkmk 2.1.0 ist ebenfalls verwundbar, jedoch am Service-Ende angelangt – eine Aktualisierung gibt es hierfür nicht mehr. Admins sollten die bereitstehenden Updates zügig installieren respektive auf noch unterstützte Versionen migrieren.
Im vergangenen Jahr hatte Checkmk eine kritische Sicherheitslücke abzudichten. Sie erlaubte Angreifern die Umgehung der Mehrfaktorauthentifizierung.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo