Elastic Stack: Pufferüberlauf ermöglicht Codeschmuggel in Kibana-Komponente
Der in Kibana integrierte Chromium-Browser verursachte das Problem nur auf bestimmten Plattformen. Updates und eine Übergangslösung stehen bereit.
Kibana, Teil des Elastic Stack, leidet unter einer Sicherheitslücke, die Codeschmuggel ermöglicht. Das teilen die Entwickler in einer Sicherheitsmeldung mit. Schuld ist ein Pufferüberlauf in Chrome, der Angreifern mittels einer präparierten HTML-Seite die Einschleusung eigener Kommandos ermöglichte. Eine "headless"-Version von Chromium, also eine ohne grafische Benutzeroberfläche, ist in Kibana enthalten und hat das Sicherheitsleck so eingeschleppt.
Von der Sicherheitslücke mit der CVE-ID CVE-2023-7024 und einem kritischen Schweregrad von 9,9/10 CVSS-Punkten sind jedoch nicht alle Kibana-Installationen betroffen. Auswirkungen hat sie vor allem auf durch Kunden selbst verwalteten Instanzen auf CentOS, Debian und RHEL, sofern die Chromium-Sandbox gemäß den Empfehlungen in der Elastic-Dokumentation abgeschaltet ist.
Nicht jede Elastic-Installation betroffen
Auch in Kibana-Docker-Instanzen und der SaaS-Lösung Elastic Cloud können Angreifer Code einschleusen; hier sind die Auswirkungen jedoch durch Sicherheitsmaßnahmen wie AppArmor und seccomp-bpf bereits eingeschränkt. Dasselbe gilt für Elastic Cloud on Kubernetes, sofern letzteres die Verwendung von seccomp-bpf unterstützt (ab Kubernetes 1.19).
Elastic empfiehlt Administratoren, deren Kibana-Versionen die Nummern 7.17.17 bzw. 8.12.0 oder kleiner tragen, schnellstmöglich auf Version 8.12.1 oder 7.17.18 zu wechseln, die den Fehler beheben. Wer nicht upgraden kann, sollte das Reporting-Modul in Kibana vorübergehend deaktivieren – der Elastic-Sicherheitshinweis verrät, wie das geht.
Das Update auf Version 8.12.1 behebt zudem eine weitere Sicherheitslücke, die in allen 8er-Versionen klafft und unter bestimmten Bedingungen Nutzern zu weite Berechtigungen einräumt. Das Leck mit der CVE-ID CVE-2024-23446 und dem CVSS-Wert von 6,5 hat ein mittleres Risiko.
Elastic bietet eine Werkzeugsammlung zur Echtzeitanalyse und Datenvisualisierung an, die als Unterbau für Produkte wie das SIEM Wazuh dient. Im Streit mit Amazon hatte das Unternehmen sich vor einigen Jahren vom Open-Source-Lizenzmodell verabschiedet und bietet den Software-Stack seither unter einer nicht-freien Lizenz an.
(cku)