Le fabricant Splunk doit combler de nombreuses lacunes avec des correctifs de sécurité dans ses mises à jour prévues tous les 3 mois. Sur les 12 mises à jour répertoriées, Splunk 9 se classe comme très dangereuse. De plus, il existe 2 mises à jour tierces qui sont également classées comme très dangereuses.
La liste des correctifs de sécurité pour les produits Splunk Enterprise est longue. En plus des vulnérabilités publiées il y a des mois, il existe 12 autres vulnérabilités et 2 vulnérabilités supplémentaires provenant de tiers dans la liste de correctifs trimestrielle prévue. À l'heure actuelle, les administrateurs et les RSSI doivent prêter attention à la liste publiée, car 9 des 12 vulnérabilités sont classées comme hautement dangereuses. De nombreuses vulnérabilités avec les scripts intersites sont évidentes et une permet même une attaque DoS via des macros de recherche.
9 vulnérabilités notées Élevé
Splunk lui-même déclare pour ses correctifs de sécurité trimestriels : « Nous prévoyons de créer des mises à jour de correctifs de sécurité et de les rendre disponibles via des versions cloud programmées ou des versions de maintenance sur site pour les versions prises en charge des produits Splunk au moment de la publication de l'avis trimestriel. Si les correctifs ne peuvent pas être rétroportés pour des raisons de faisabilité technique ou pour d'autres raisons, nous publierons des mesures d'atténuation et des contrôles compensatoires supplémentaires. Les mises à jour des correctifs de sécurité sont généralement publiées le premier mardi du trimestre fiscal de Splunk. Les trois prochaines dates prévues sont : 7 février 2023, 2 mai 2023 et 1er août 2023
Toutes les mises à jour sont datées du 2 novembre 2022
- Blocage de l'indexation sur les mauvaises données envoyées via les protocoles S2S ou HEC dans Splunk Enterprise High CVE-2022-43572
- Exécution de code à distance via le composant de génération de PDF du tableau de bord dans Splunk Enterprise High CVE-2022-43571
- Injection d'entités externes XML via une vue personnalisée dans Splunk Enterprise High CVE-2022-43570
- Script intersite persistant via un nom d'objet de modèle de données dans Splunk Enterprise High CVE-2022-43569
- Script intersite réfléchi via un modèle radio dans Splunk Enterprise High CVE-2022-43568
- Exécution de code à distance via la fonction d'alertes mobiles de l'application Splunk Secure Gateway Élevé CVE-2022-43567
- Les sauvegardes de commandes risquées sont contournées via une requête d'ID de recherche dans Analytics Workspace dans Splunk Enterprise High CVE-2022-43566
- Les sauvegardes de commandes risquées sont contournées via la commande JSON tstats dans Splunk Enterprise High CVE-2022-43565
- Les fusibles de commande risqués sont contournés via les noms de champ de commande de recherche "rex" dans Splunk Enterprise High CVE-2022-43563
- Script intersite persistant dans la boîte de dialogue "Enregistrer la table" dans Splunk Enterprise Medium CVE-2022-43561
- Déni de service dans Splunk Enterprise par macros de recherche Medium CVE-2022-43564
- Injection d'en-tête d'hôte dans Splunk Enterprise Low CVE-2022-43562
2 autres vulnérabilités tierces
- Mises à jour des packages tiers de novembre dans Splunk Enterprise High
- Réponse de Splunk à OpenSSL CVE-2022-3602 et CVE-2022-3786 Élevé
À propos de Splunk
Splunk Inc. aide les entreprises du monde entier à transformer les données en action. La technologie Splunk a été développée pour examiner, surveiller, analyser et utiliser des données de tous types et de toutes tailles comme base d'actions concrètes.