Der Big-Data-Spezialist Splunk bessert diverse sicherheitsrelevante Fehler in der gleichnamigen Software aus. Neben Aktualisierungen, die zwölf Sicherheitslücken abdichten, stellt Splunk auch aktualisierte Dritthersteller-Komponenten bereit, die teils kritische Sicherheitslücken schließen. Updates gibt es für Splunk Cloud, Enterprise und Universal Forwarders.
Splunk: Fünf hochriskante Schwachstellen
Von den zwölf gemeldeten Lücken gelten den Splunk-Entwicklern fünf als hochriskant, sechs als mittlerer und eine als niedriger Bedrohungsgrad. Nutzer mit wenigen Rechten könnten ihre Zugriffsberechtigung auf den „admin“-Nutzer ausweiten, sofern sie die Funktion edit_user nutzen dürfen. Die Funktion habe die grantRoles-Einstellung aus der authorize.conf-Datei nicht berücksichtigt (CVE-2023-32707, CVSS 8.8, Risiko „hoch„). Zudem können Nutzer mit geringen Zugriffsrechten unter Umständen eine Path-Traversal-Lücke missbrauchen, um Zugriffs-beschränkte Bereiche des Splunk-Installationsverzeichnisses auszulesen und dorthin zu schreiben (CVE-2023-32714, CVSS 8.1, hoch).
Nutzer könnten in einer Splunk-Enterprise-Instanz aufgrund einer Schwachstelle im streamfwd-Prozess der Splunk App for Stream ihre Rechte auf den „root“-User ausweiten (CVE-2023-32713, CVSS 7.8, hoch). Ein Denial-of-Service-Angriff (DoS) ist beim Verarbeiten sorgsam präparierter XML-Daten im XML-Parser mit SAML-Authentifizierung möglich (CVE-2023-32706, CVSS 7.7, hoch). Eine HTTP-Response-Spliiting-Lücke ermöglicht Nutzern mit niedrigen Rechten im System, beliebig REST-Endpunkte zu kontaktieren und vertrauliche Inhalte einzusehen ()CVE-2023-32708, CVSS 7.2, hoch).
Zudem stammen kritische Lücken in Splunk derweil aus Dritthersteller-Komponenten. Für Splunk Cloud, Enterprise und Universal Forwarders bringen die Aktualisierungen fehlerbereinigte Versionen etwa von libxml2, OpenSSL oder curl mit. Einige Lücken etwa in curl, lz4, zlib xmldom oder loader-utils gelten dabei als kritisch.
Die Sicherheitslücken in Splunk Cloud hat das Unternehmen bereits selbst geschlossen. Die On-Premise-Installation von Splunk Enterprise sowie Universal Forwarders steht in den fehlerbereinigten Fassungen 9.0.5, 8.2.11 sowie 8.1.14 bereit. Die Übersicht über die geschlossenen Sicherheitslücken liefert Splunk auf einer eigenen Webseite. IT-Verantwortliche sollten die bereitstehenden Updates zeitnah herunterladen und installieren.
Bereits im November vergangenen Jahres hatte Splunk zwölf Schwachstellten in der Software ausgebessert. Auch sie galten dem Hersteller als hochriskant.
(dmk)
