Die Monitoring- und Datenanalyse-Software Splunk veröffentlicht ein Sicherheitsupdate, um verschiedene Lücken zu schließen. Die aktualisierte Version behebt nicht nur einige Schwachstellen in externen Bibliotheken, sondern auch zwei Sicherheitslücken in Splunk selbst. Diese umfassen Cross-Site-Scripting durch manipulierte Logzeilen und Codeschmuggel über XML-Dokumente.
Eine der Schwachstellen betrifft die Funktion von Splunk Enterprise und Splunk Cloud, die es den Nutzern ermöglicht, eigene Dokumente mit XSLT-Daten hochzuladen. Dabei werden diese Dateien jedoch nicht ausreichend überprüft, wodurch Angreifer ihren eigenen Code auf der betroffenen Splunk-Instanz ausführen können. Der Hersteller bewertet diese Lücke als hochriskant und gibt ihr 8.0 von 10 CVSS-Punkten. Sie trägt die CVE-ID CVE-2023-46214.
Eine weitere Lücke betrifft die Verarbeitung von Logdateien durch Splunk. Wenn ein Angreifer eine Protokolldatei erstellt, die an der richtigen Stelle Javascript-Code enthält, wird dieser Code ausgeführt, sobald ein Nutzer der Splunk-Webkonsole das präparierte Logfile mit aktiviertem Syntax-Highlighting öffnet. Da Angreifer Zugriff auf die verarbeiteten Logdateien von Splunk benötigen, wird diese Lücke als mittelschwer eingestuft und erhält 4.8 von 10 CVSS-Punkten. Diese Schwachstelle trägt die CVE-ID CVE-2023-46213.
Die Sicherheitslücken betreffen Splunk 9 und die folgenden Web-Komponenten:
- Splunk Enterprise 9.0.0 bis 9.0.6
- Splunk Enterprise 9.1.0 bis 9.1.1
- Splunk Cloud vor Version 9.1.2308
Um die Lücken zu schließen, wurden die Versionen 9.0.7 und 9.1.2 von Splunk Enterprise veröffentlicht. Cloud-Kunden müssen sich keine Gedanken um Updates machen, da sie automatisch auf dem neuesten Stand bleiben.
Die aktualisierten Versionen beheben nicht nur die oben genannten Schwachstellen, sondern aktualisieren auch externe Pakete wie bottle, Python und OpenSSL auf neuere Versionen, um Sicherheitsprobleme zu beheben.
Zusätzlich wurden auch die Splunk-Add-ons für Google Cloud Platform (GCP) und Amazon Web Services (AWS) aktualisiert, um die Sicherheit zu verbessern. Dabei wurden einige mitgelieferte Pakete aktualisiert, um verschiedene Schwachstellen zu beheben. Diese Schwachstellen wurden als "hoch" oder "niedrig" eingestuft. Obwohl die Übersichtsseite für Splunk-Sicherheitshinweise das Risiko als "kritisch" bezeichnet, beruht diese Einschätzung offenbar auf einer veralteten CVSS-Bewertung einer Sicherheitslücke im Python-Paket "certifi", die mittlerweile nur noch als niedrigrisikohaft betrachtet wird.
Splunk wurde 2003 gegründet und steht kurz vor der Übernahme durch Cisco. Nachdem eine wichtige gesetzliche Meldefrist abgelaufen ist, kann die Übernahme nun vollzogen werden. Cisco bietet den Aktionären einen Kaufpreis von gut 143 Euro pro Aktie, knapp 5 Euro mehr als der aktuelle Börsenkurs des Unternehmens.
Kommentare