Hersteller Splunk muss bei seinen geplanten 3-Monats-Updates eine Menge Lücken mit Sicherheits-Patches stopfen. Von den 12 aufgeführten Updates stuft Splunk 9 selbst als Hochgefährlich ein. Zusätzlich gibt es noch 2 Updates von Drittanbietern, die ebenfalls als Hochgefährlich eingestuft sind.
Die Liste von Sicherheits-Patches für Splunk Enterprise Produkte ist richtig lang. Neben den bereits vor Monaten veröffentlichten Schwachstellen gibt es in geplanten, vierteljährigen Patchliste weitere 12 Schwachstellen und zusätzlich 2 Schwachstellen von Drittanbietern. Gerade im Moment sollten Administratoren und CISOs auf die veröffentlichte Liste achten, den 9 der 12 Schwachstellen sind als Hochgefährlich eingestuft. Auffällig sind viele Schwachstellen mit Cross-Site Scripting und eine lässt sogar eine DoS-Attacke zu durch Suchmakros.
9 Schwachstellen als Hoch eingestuft
Splunk selbst gibt für seine vierteljährlichen Sicherheits-Patches an: „Wir planen, Sicherheitspatch-Updates zu erstellen und sie über geplante Cloud-Releases oder On-Premises-Wartungsreleases für unterstützte Versionen von Splunk-Produkten zum Zeitpunkt der Veröffentlichung der vierteljährlichen Empfehlung bereitzustellen. Wenn Patches aufgrund technischer Machbarkeit oder aus anderen Gründen nicht zurückportiert werden können, werden wir Maßnahmen zur Risikominderung und zusätzliche kompensierende Kontrollen veröffentlichen.“ Sicherheitspatch-Updates werden in der Regel am ersten Dienstag des Geschäftsquartals von Splunk veröffentlicht. Die nächsten drei geplanten Termine sind: 7. Februar 2023, 2. Mai 2023 und 1. August 2023
Alle Updates tragen das Datum 2. November 2022
- Indizierungsblockierung über fehlerhafte Daten, die über S2S- oder HEC-Protokolle in Splunk Enterprise gesendet werden Hoch CVE-2022-43572
- Remote-Code-Ausführung über die Dashboard-Komponente zur PDF-Generierung in Splunk Enterprise Hoch CVE-2022-43571
- XML External Entity Injection über eine benutzerdefinierte Ansicht in Splunk Enterprise Hoch CVE-2022-43570
- Persistent Cross-Site Scripting über einen Datenmodell-Objektnamen in Splunk Enterprise Hoch CVE-2022-43569
- Reflected Cross-Site Scripting über das Radio-Template in Splunk Enterprise Hoch CVE-2022-43568
- Remote Code Execution über die Mobile Alerts-Funktion der Splunk Secure Gateway-Anwendung Hoch CVE-2022-43567
- Riskante Befehlssicherungen werden über die Such-ID-Abfrage in Analytics Workspace in Splunk Enterprise umgangen Hoch CVE-2022-43566
- Riskante Befehlssicherungen werden über den JSON-Befehl „tstats“ in Splunk Enterprise umgangen Hoch CVE-2022-43565
- Riskante Befehlssicherungen werden über „rex“-Suchbefehlsfeldnamen in Splunk Enterprise umgangen Hoch CVE-2022-43563
- Persistent Cross-Site Scripting im „Save Table“-Dialog in Splunk Enterprise Mittel CVE-2022-43561
- Denial of Service in Splunk Enterprise durch Suchmakros Mittel CVE-2022-43564
- Host-Header-Injektion in Splunk Enterprise Niedrig CVE-2022-43562
Weitere 2 Schwachstellen von Drittanbietern
- November Updates von Drittanbieterpaketen in Splunk Enterprise Hoch
- Splunks Antwort auf CVE-2022-3602 und CVE-2022-3786 von OpenSSL Hoch
Über Splunk
Splunk Inc. hilft Unternehmen auf der ganzen Welt dabei, Daten in Taten zu verwandeln. Die Splunk-Technologie wurde entwickelt, um Daten jeder Art und Größe zu untersuchen, zu überwachen, zu analysieren und als Basis für konkrete Maßnahmen nutzbar zu machen.