Splunk Enterprise是一款专业的数据分析软件,能够对采样的数据以及统计图做出专业分析,支持跨平台使用,常用于金融、IT、财务等多个领域。
2024年7月2日,启明星辰集团VSRC监测到Splunk Enterprise中修复了一个路径遍历漏洞(CVE-2024-36991),该漏洞的CVSS评分为7.5。
Windows 上Splunk Enterprise 9.2.2、9.1.5 和 9.0.10之前版本中存在路径遍历漏洞,由于Python os.path.join函数在处理Windows路径时存在安全问题,未经身份验证的远程威胁者可对Splunk Enterprise(Windows上运行且已启用Splunk Web)中的/modules/messaging/端点执行路径遍历攻击,成功利用可能导致信息泄露。
此外,Splunk还修复了以下多个高危漏洞:
CVE-2024-36985:由于Splunk Enterprise中splunk_archiver应用程序中的copybuckets.py脚本,低权限威胁者可通过外部查找导致远程代码执行。
CVE-2024-36984:经过身份验证的威胁者可通过Windows上的 Splunk Enterprise 中的序列化会话Payload导致任意代码执行。
CVE-2024-36983:经过身份验证的威胁者可使用外部查找进行命令注入。
CVE-2024-36982:未经身份验证的远程威胁者可通过cluster/config REST 端点上触发空指针引用,导致 Splunk守护进程崩溃,造成拒绝服务。
影响范围
Splunk Enterprise 9.2版本:9.2.0 – 9.2.1
Splunk Enterprise 9.1版本:9.1.0 – 9.1.4
Splunk Enterprise 9.0版本:9.0.0 – 9.0.9
Splunk Cloud Platform 9.1.2312版本:9.1.2312.100 – 9.1.2312.108
Splunk Cloud Platform 9.1.2308版本< 9.1.2308.207
安全措施
目前该漏洞已经修复,受影响用户可升级到Splunk Enterprise 9.2.2、9.1.5、9.0.10 或更高版本;Splunk Cloud Platform 9.1.2312.109、9.1.2308.207或更高版本。
下载链接:
https://www.splunk.com/en_us/products/splunk-enterprise.html
临时措施
针对CVE-2024-36991:
该漏洞已知影响Windows上的 Splunk Enterprise。
此外,该漏洞会影响已启用Splunk Web 的实例,如果 Splunk Enterprise 实例未运行 Splunk Web则不易受该漏洞影响。如非必要,受影响用户可通过关闭 Splunk Web 作为一种缓解措施,详情可参考禁用不必要的 Splunk Enterprise 组件和web.conf配置规范文件。
参考链接
https://advisory.splunk.com/advisories/SVD-2024-0711
https://research.splunk.com/application/e7c2b064-524e-4d65-8002-efce808567aa/
No Responses (yet)
Stay in touch with the conversation, subscribe to the RSS feed for comments on this post.