Kibana Sicherheits-Updates: CVSS:Critical

Und täglich grüßt das Murmeltier. Nein nicht ganz. Heute ist es  aus der Elastic Stack Werkzeugkiste Kibana, für das es ein wichtiges Sicherheits-Update gibt. Es besteht auf jeden Fall Handlungsbedarf! IMHO auch wenn ihr die “Reporting” Funktion deaktiviert habt.

Der Link zur Veröffentlichung: Kibana 8.12.1, 7.17.18 Security Update (ESA-2024-04)

Schweregrad: Severity: CVSSv3: 9.9(Critical)

Beschreibung

Die Verwundbarkeit ist ist auf eine Schwachstelle von Google Chrome aus Dezember 2023 zurückzuführen. Da Kibana für die Reporting Funktion eine eingebettete “Chromium headless Verison” mit sich bringt, ist Kibana von dieser “Heap buffer overflow in WebRTC” ebenfalls betroffen. Diese Schwachstelle ermöglicht es einem entfernten Angreifer, über eine manipulierte HTML-Seite einen “Heap-Velrust” auszunutzen.

Dieser Effekt betrifft “on-premises” Kibana installation auf Betriebsystemen die “Chromium Sandbox” abgeschaltet haben. Diese sind CentOS, Debian, RHEL.

Es betrifft auch Instanzen welche mit dem Kibana Docker betrieben werden, wenn “Chromium Sandbox” wie explizit empfohlen abgeschaltet ist. Jedoch gilt hier, dass eine “Container Escape” nicht möglich ist, da es durch “seccomp-bpf” unterbunden wird. Das gilt auch für Kibana Instanzen auf “Elastic Cloud“, für “Elastic Cloud Enterprise (ECE)“, wobei hier das weitere Vordringen zusätzlich zum “seccomp-bf ” mit “AppArmor profiles” verhindert wird.

Für Kibana Instanzen welche auf “Elastic Cloud on Kubernetes” laufen, ist um das weitere Vordingen (Container Escape) durch “seccomp-bf” zu verhindern, dieses entsprechend in Kubernetes zu konfigurieren (wird seit V1.19 unterstützt).

Betroffene Versionen

• Kibana bis 7.17.17
• Kibana bis 8.12.0

Handlungsablauf zur Abhilfe

• Dringend Update auf Version 8.12.1 oder Version 7.17.18
  • Dabei ist aber auch an die Elasticsearch Version zu denken
• Sollte Kein UPDATE möglich sein, dann sollte die “Reporting” Funktion dringend abgeschalten werden

  vi /etc/kibana/kibana.yml
  ...
  xpack.reporting.enabled: false

   

Anmerkung der Redaktion

Hier ist ein handeln Empfohlen. Der Hersteller hat die Schwachstelle erkannt und öffentlich bekannt gegeben, begleitet von Handlungsempfehlungen zur Behebung. Wir haben dies festgestellt und möchten euch mit diesem Beitrag bei der Erkennung und der damit verbundenen Möglichkeit zum Handeln unterstützen. Wenn Ihr unsicher seit, wie ihr reagieren sollt und Unterstützung benötigt, wendet euch einfach an unser Sales-Team. Das Team von Professional Services unterstützt euch gerne.

Daniel Neuberger

Senior Consultant

---

Nach seiner Ausbildung zum Fachinformatiker für Systemintegration und Tätigkeit als Systemadministrator kam er 2012 zum Consulting. Nach nun mehr als 4 Jahren Linux und Open Source Backup Consulting zieht es ihn in die Welt des Monitorings und System Management. Seit April 2017 verstärkt er das NETWAYS Professional Services Team im Consulting rund um die Themen Elastic, Icinga und Bareos. Wenn er gerade mal nicht um anderen zu Helfen durch die Welt tingelt geht er seiner Leidenschaft für die Natur beim Biken und der Imkerei nach und kassiert dabei schon mal einen Stich.

Read more from Daniel and meet the Team