Die Business-Intelligence-Software Pentaho ist über mehrere als „kritisch“ eingestufte Sicherheitslücken angreifbar. Ob es bereits eine dagegen abgesicherte Version gibt, ist bislang unklar. Vor den Lücken warnen die Sicherheitsforscher Alberto Favero (HawSec) and Altion Malka (Census Labs) in einem ausführlichen Bericht. Eigenen Angaben zufolge haben sie die Windows-64-Bit-Version Business Analytics 9.1.0.0-324 untersucht und insgesamt sechs Sicherheitslücken entdeckt. Zwei davon (CVE-2021-31599, CVE-2021-31600) sind als kritisch eingestuft. Hier könnte ein authentifizierter Angreifer eine präparierte Report-Bundle-Datei hochladen und aufgrund der Schwachstelle in BeanShell-Script-Funktionen Schadcode ausführen. Im zweiten Fall könnte ein unangemeldeter Angreifer SQL-Anfragen im Backend ausführen, warnen die Sicherheitsforscher. Die verbleibenden Lücken sind mit „niedrig“ bis „hoch“ eingestuft. Setzen Angreifer erfolgreich an einer Schwachstelle an, könnten sie etwa Authentifizierungsmechanismen umgehen. Im Bericht der Sicherheitsforscher tauchen nur Empfehlungen für die Pentaho-Entwickler auf, wie sie die Lücken schließen könnten. Eine konkrete gepatchte Version nennt der Text nicht. Auf eine Anfrage von heise Security antwortete Hawsec, dass ihnen trotz Nachfrage bei Hitachi Vantara selbst unklar ist, ob und in welcher Version die Sicherheitspatches eingeflossen sind. Sie gehen aber davon aus, dass die Patches mittlerweile implementiert sind. Die Implementierung war den Forschern zufolge wohl für die Versionen 9.2 beziehungsweise 9.3 vorgesehen. Die Antwort auf eine Anfrage an Hitachi Vantara steht noch aus.

Quelle: Heise