Solarwinds hat für die Solarwinds Platform Self-Hosted das Update auf Version 2025.1 bereitgestellt. Da es teils kritische Sicherheitslücken schließt, sollten IT-Verantwortliche zügig die Aktualisierung anwenden.
Anzeige
In den Release-Notes von Solarwinds Platform listet das Unternehmen allgemeine Verbesserungen und neue Funktionen vor, nennt am Ende jedoch auch die darin geschlossenen Sicherheitslücken. Insgesamt geht es um fünf Schwachstellen, von denen drei Solarwinds Platform direkt und zwei weitere Drittherstellerkomponenten betreffen.
Für die gravierendsten Sicherheitslücken zeichnet das mitgelieferte OpenSSL verantwortlich. Eine Schwachstelle erlaubt unter gewissen, eher selten anzutreffenden Umständen das Lesen von Daten über einen Puffer hinaus, wodurch Angreifer auf sensible Daten zugreifen können. Die OpenSSL-Entwickler haben die Lücke daher als niedriges Risiko eingestuft. Offenbar verwendet Solarwinds OpenSSL jedoch auf die verwundbare Art und Weise, sodass die Schwachstelle CVE-2024-5535 von den Entwicklern einen CVSS-Score von 9.1 und damit eine Risikoeinstufung als "kritisch" erhält.
Zudem korrigiert die aktualisierte, mitgelieferte OpenSSL-Fassung ein Sicherheitsleck, das Angreifer für einen Denial-of-Service missbrauchen können (CVE-2024-6119, CVSS 7.5, hoch). In der Solarwinds-Platform-Software selbst klafft zudem eine Reflected-Cross-Site-Scripting-Lücke (CVE-2024-52612, CVSS 6.8, mittel – von Solarwinds jedoch als Risiko "hoch" klassifiziert). Zudem können bösartige Akteure eine Server-Side Request Forgery missbrauchen (CVE-2024-52606, CVSS 3.5, niedrig) oder durch eine Fehlermeldung an Informationen gelangen – jedoch an keine sensiblen, erörtert Solarwinds (CVE-2024-52611, CVSS 3.5, niedrig).
Das Update auf Solarwinds Platform 2024.4 aus dem Oktober 2024 hat ebenfalls einige Sicherheitslücken abgedichtet. Darunter waren teils welche als kritisches Risiko eingestuft.
(
Kommentare