heise PlusAbo
Anzeige
Alert!

Solarwinds: Update schließt teils kritische Lücken in Platform

Solarwinds hat das Update 2025.1 von Solarwinds Platform veröffentlicht. Es schließt einige teilweise kritische Sicherheitslücken.

vorlesen Druckansicht 1 Kommentar lesen
Stilisiertes Bild: Ein Stapel brennender Appliances

Schwachstellen bedrohen Appliances.

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Solarwinds hat für die Solarwinds Platform Self-Hosted das Update auf Version 2025.1 bereitgestellt. Da es teils kritische Sicherheitslücken schließt, sollten IT-Verantwortliche zügig die Aktualisierung anwenden.

In den Release-Notes von Solarwinds Platform listet das Unternehmen allgemeine Verbesserungen und neue Funktionen vor, nennt am Ende jedoch auch die darin geschlossenen Sicherheitslücken. Insgesamt geht es um fünf Schwachstellen, von denen drei Solarwinds Platform direkt und zwei weitere Drittherstellerkomponenten betreffen.

Kritische Sicherheitslücke in Solarwinds Platform

Für die gravierendsten Sicherheitslücken zeichnet das mitgelieferte OpenSSL verantwortlich. Eine Schwachstelle erlaubt unter gewissen, eher selten anzutreffenden Umständen das Lesen von Daten über einen Puffer hinaus, wodurch Angreifer auf sensible Daten zugreifen können. Die OpenSSL-Entwickler haben die Lücke daher als niedriges Risiko eingestuft. Offenbar verwendet Solarwinds OpenSSL jedoch auf die verwundbare Art und Weise, sodass die Schwachstelle CVE-2024-5535 von den Entwicklern einen CVSS-Score von 9.1 und damit eine Risikoeinstufung als "kritisch" erhält.

Videos by heise

Zudem korrigiert die aktualisierte, mitgelieferte OpenSSL-Fassung ein Sicherheitsleck, das Angreifer für einen Denial-of-Service missbrauchen können (CVE-2024-6119, CVSS 7.5, hoch). In der Solarwinds-Platform-Software selbst klafft zudem eine Reflected-Cross-Site-Scripting-Lücke (CVE-2024-52612, CVSS 6.8, mittel – von Solarwinds jedoch als Risiko "hoch" klassifiziert). Zudem können bösartige Akteure eine Server-Side Request Forgery missbrauchen (CVE-2024-52606, CVSS 3.5, niedrig) oder durch eine Fehlermeldung an Informationen gelangen – jedoch an keine sensiblen, erörtert Solarwinds (CVE-2024-52611, CVSS 3.5, niedrig).

Lesen Sie auch

Das Update auf Solarwinds Platform 2024.4 aus dem Oktober 2024 hat ebenfalls einige Sicherheitslücken abgedichtet. Darunter waren teils welche als kritisches Risiko eingestuft.

(dmk)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten