Виробник Splunk має заповнити багато прогалин за допомогою виправлень безпеки у своїх запланованих 3-місячних оновленнях. З 12 перелічених оновлень Splunk 9 оцінює себе як дуже небезпечне. Крім того, є 2 оновлення сторонніх розробників, які також класифікуються як дуже небезпечні.
Список патчів безпеки для продуктів Splunk Enterprise довгий. На додаток до вразливостей, опублікованих кілька місяців тому, є ще 12 уразливостей і ще 2 уразливості від третіх сторін у запланованому щоквартальному списку виправлень. Зараз адміністраторам і CISO варто звернути увагу на опублікований список, оскільки 9 із 12 уразливостей класифікуються як дуже небезпечні. Багато вразливостей у міжсайтовому сценарії помітні, і одна навіть дозволяє DoS-атаку через пошукові макроси.
9 вразливостей з високим рейтингом
Сама Splunk заявляє про свої щоквартальні виправлення безпеки: «Ми плануємо створювати оновлення виправлень безпеки та робити їх доступними через заплановані хмарні випуски або випуски локального обслуговування для підтримуваних версій продуктів Splunk під час публікації щоквартальних консультацій. Якщо патчі не можуть бути перенесені через технічну здійсненність або з інших причин, ми опублікуємо заходи пом’якшення та додаткові компенсаційні засоби контролю». Оновлення патчів безпеки зазвичай виходять у перший вівторок фінансового кварталу Splunk. Наступні три заплановані дати: 7 лютого 2023 р., 2 травня 2023 р. та 1 серпня 2023 р.
Усі оновлення датовані 2 листопада 2022 року
- Блокування індексації через неправильні дані, надіслані через протоколи S2S або HEC у Splunk Enterprise High CVE-2022-43572
- Віддалене виконання коду через компонент генерації PDF-файлів Dashboard у Splunk Enterprise High CVE-2022-43571
- Впровадження зовнішньої сутності XML через настроюване подання в Splunk Enterprise High CVE-2022-43570
- Постійне міжсайтове виконання сценаріїв через назву об’єкта моделі даних у Splunk Enterprise High CVE-2022-43569
- Відображено міжсайтове виконання сценаріїв через радіошаблон у Splunk Enterprise High CVE-2022-43568
- Віддалене виконання коду за допомогою функції мобільних сповіщень програми Splunk Secure Gateway Application High CVE-2022-43567
- Резервне копіювання ризикованих команд обходиться за допомогою запиту ідентифікатора пошуку в робочій області Analytics у Splunk Enterprise High CVE-2022-43566
- Резервне копіювання ризикованих команд обходиться за допомогою команди JSON tstats у Splunk Enterprise High CVE-2022-43565
- Ризиковані командні запобіжники обходяться за допомогою імен полів команд пошуку "rex" у Splunk Enterprise High CVE-2022-43563
- Постійний міжсайтовий сценарій у діалоговому вікні «Зберегти таблицю» в Splunk Enterprise Medium CVE-2022-43561
- Відмова в обслуговуванні в Splunk Enterprise за допомогою пошукових макросів CVE-2022-43564
- Впровадження заголовка хосту в Splunk Enterprise Low CVE-2022-43562
Ще 2 сторонніх уразливості
- Листопад Оновлення пакетів сторонніх розробників у Splunk Enterprise High
- Відповідь Splunk на OpenSSL CVE-2022-3602 і CVE-2022-3786 High
Про Splunk
Splunk Inc. допомагає компаніям у всьому світі перетворювати дані на дії. Технологію Splunk було розроблено для вивчення, моніторингу, аналізу та використання даних усіх типів і розмірів як основи для конкретних дій.