Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Kritische SailPoint IdentityIQ-Schwachstelle legt vertrauliche Dateien offen

In der Identitäts- und Zugriffsverwaltungssoftware IdentityIQ von SailPoint wurde eine gravierende Sicherheitslücke aufgedeckt, die es Angreifern ermöglicht, unbefugt auf vertrauliche Inhalte im Anwendungsverzeichnis zuzugreifen.

Bedrohungen
Lesezeit 1 Min.

Die als CVE-2024-10905 bezeichnete Schwachstelle hat den höchstmöglichen Schweregrad mit einem CVSS-Score von 10.0. Betroffen sind die IdentityIQ-Versionen 8.2, 8.3, 8.4 sowie alle früheren Versionen. Laut der National Vulnerability Database (NVD) des NIST ermöglicht diese Schwachstelle „HTTP-Zugriff auf statische Inhalte im IdentityIQ-Anwendungsverzeichnis, die eigentlich geschützt sein sollten.“

Das Problem wurde als unsachgemäße Behandlung von Dateinamen beschrieben, die virtuelle Ressourcen identifizieren (CWE-66). Diese Schwachstelle kann ausgenutzt werden, um auf Dateien zuzugreifen, die normalerweise nicht sichtbar sein sollten.

In einer eigenen Mitteilung erklärt SailPoint, dass es „E-Fixes für jede betroffene und unterstützte Version von IdentityIQ“ bereitgestellt hat. Die genauen betroffenen Versionen, die unter CVE-2024-10905 fallen, sind:

  • Version 8.4 und alle Patch-Stufen vor 8.4p2
  • Version 8.3 und alle Patch-Stufen vor 8.3p5
  • Version 8.2 und alle Patch-Stufen vor 8.2p8
  • sowie alle älteren Versionen.

Der Chief Information Security Officer von SailPoint, Rex Booth, hat zu diesem Vorfall inzwischen folgendes Statement abgegeben:

„Im Rahmen unseres Engagements für Transparenz und Sicherheit hat SailPoint am Montag, dem 2. Dezember, eine Sicherheitswarnung für sein Produkt Identity IQ veröffentlicht. Diese wurde unter der Bezeichnung CVE-2024-10905 registriert. Ein entsprechendes Update wurde bereits bereitgestellt, und wir haben unseren Kunden Anleitungen zur Anwendung gegeben.

Das Veröffentlichen von CVEs ist eine freiwillige Praxis in der Branche, die unser Engagement für Sicherheit und Transparenz unterstreicht. Bei SailPoint setzen wir auf sichere Entwicklungspraktiken und arbeiten daran, Schwachstellen bereits vor der Veröffentlichung von Software zu erkennen. Doch wie bei jeder Software können durch neue Angriffsstrategien und verbesserte Erkennungsmethoden immer wieder Schwachstellen auftreten. Daher testen wir unsere Produkte kontinuierlich in allen Entwicklungsphasen, um Risiken für unsere Kunden zu minimieren.

Das Erkennen und Beheben von Schwachstellen ist ein Zeichen eines ausgereiften Sicherheitsprogramms und eines Unternehmens, das sich dem Schutz des digitalen Ökosystems verpflichtet fühlt.“

Diesen Beitrag teilen: