Kritische Schadcode-Lücken bedrohen Business-Intelligence-Software Pentaho
Die Analyse-Software für geschäftliche Prozesse Pentaho von Hitachi Vantara ist verwundbar.
(Bild: Artur Szczybylo/Shutterstock.com)
Die Business-Intelligence-Software Pentaho ist über mehrere als "kritisch" eingestufte Sicherheitslücken angreifbar. Ob es bereits eine dagegen abgesicherte Version gibt, ist bislang unklar. [UPDATE] Eine abgesicherte Version ist seit Juni 2021 verfügbar.
Schadcode- und SQL-Attacken
Vor den Lücken warnen die Sicherheitsforscher Alberto Favero (HawSec) and Altion Malka (Census Labs) in einem ausführlichen Bericht. Eigenen Angaben zufolge haben sie die Windows-64-Bit-Version Business Analytics 9.1.0.0-324 untersucht und insgesamt sechs Sicherheitslücken entdeckt. Zwei davon (CVE-2021-31599, CVE-2021-31600) sind als kritisch eingestuft.
Hier könnte ein authentifizierter Angreifer eine präparierte Report-Bundle-Datei hochladen und aufgrund der Schwachstelle in BeanShell-Script-Funktionen Schadcode ausführen. Im zweiten Fall könnte ein unangemeldeter Angreifer SQL-Anfragen im Backend ausführen, warnen die Sicherheitsforscher.
Abgesicherte Version?
Die verbleibenden Lücken sind mit "niedrig" bis "hoch" eingestuft. Setzen Angreifer erfolgreich an einer Schwachstelle an, könnten sie etwa Authentifizierungsmechanismen umgehen.
Im Bericht der Sicherheitsforscher tauchen nur Empfehlungen für die Pentaho-Entwickler auf, wie sie die Lücken schließen könnten. Eine konkrete gepatchte Version nennt der Text nicht. [UPDATE] Einem Sprecher von Hitachi Vantara zufolge haben die Entwickler den Großteil der Lücken im Juni 2021 in der Version Pentaho 9.2 geschlossen. Eine verbleibende Schwachstelle (CVE-2021-34685 "niedrig") wollen die Entwickler noch diesen Monat schließen.
Auf eine Anfrage von heise Security antwortete Hawsec, dass ihnen trotz Nachfrage bei Hitachi Vantara selbst unklar ist, ob und in welcher Version die Sicherheitspatches eingeflossen sind. Sie gehen aber davon aus, dass die Patches mittlerweile implementiert sind. Die Implementierung war den Forschern zufolge wohl für die Versionen 9.2 beziehungsweise 9.3 vorgesehen. Die Antwort auf eine Anfrage an Hitachi Vantara steht noch aus.
[UPDATE 02.11.2021 12:55 Uhr]
Involvierte Sicherheitsforscher im Fließtext genannt.
[UPDATE 04.11.2021 09:00 Uhr]
Informationen zu gepatchten Versionen im Fließtext eingefügt.
(des)
