Neues aus der IT-Welt

Checkmk warnt vor Sicherheitslücken in der gleichnamigen Netzwerk-Überwachungssoftware. Eine betrifft den Windows-Agent und verpasst eine Einordnung als kritisches Sicherheitsrisiko nur knapp, eines der weiteren Lecks dürfte Admins hingegen keinen Schlaf rauben.

In der Versionsankündigung zu Checkmk 2.4.0p13, Checkmk 2.3.0p38 sowie Checkmk 2.2.0p46, die die Entwickler am Donnerstag dieser Woche veröffentlicht haben, nennen die Programmierer drei Sicherheitslücken, die mit den Updates geschlossen werden. Am schwerwiegendsten wirkt sich eine Lücke in den Windows-Versionen aus. Laut Schwachstellenbeschreibung ermöglicht die Verwendung eines unsicheren temporären Verzeichnisses im Windows-Lizenz-Plugin für den Checkmk Windows Agent eine Rechteausweitung (CVE-2025-32919 / EUVD-2025-33350, CVSS 8.8, Risiko "hoch").

Außerdem können angemeldete Nutzer eine unzureichende Filterung des Report Scheduler mißbrauchen, um Speicherorte für Berichte au&azlig;erhalb des eigentlich gesetzten Root-Verzeichnisses anzugeben (CVE-2025-39664 / EUVD-2025-33348, CVSS 7.1, Risiko "hoch"). In HTTP-Get-Anfragen von Checkmk k&oumL;nnen sensible Daten aus Formularen im URL-Query-Parameter landen, die an diversen Stellen wie im Browserverlauf oder den Web-Server-Logdateien protokolliert werden (CVE-2025-32916 / EUVD-2025-33351, CVSS 1.0, Risiko "niedrig").

Die sicherheitsrelevanten Fehler bügelt Checkmk in den Fassungen 2.4.0p13, 2.3.0p38 und 2.2.0p46 aus. Checkmk 2.1.0 ist ebenfalls verwundbar, jedoch am Service-Ende angelangt – eine Aktualisierung gibt es hierfür nicht mehr. Admins sollten die bereitstehenden Updates zügig installieren respektive auf noch unterstützte Versionen migrieren.

Im vergangenen Jahr hatte Checkmk eine kritische Sicherheitslücke abzudichten. Sie erlaubte Angreifern die Umgehung der Mehrfaktorauthentifizierung.