领先的数据分析和安全监控平台 Splunk 发布了一系列安全更新,以解决 Splunk Enterprise 和 Splunk Cloud Platform 中的多个漏洞。这些漏洞的严重程度不一,有些可实现远程代码执行(RCE),有些则允许低权限用户访问敏感信息。
需要立即关注的严重 RCE 漏洞
其中最严重的漏洞是 CVE-2024-45731 和 CVE-2024-45733,这两个漏洞都可能允许攻击者在易受攻击的系统上远程执行代码。CVE-2024-45731 特别影响 Splunk Enterprise 安装在单独磁盘上的 Windows 安装。利用此漏洞,攻击者可将恶意 DLL 文件写入 Windows 系统根目录,从而可能导致系统完全崩溃。CVE-2024-45733 源自不安全的会话存储配置,影响 9.2.3 和 9.1.6 以下 Windows 版本的 Splunk Enterprise。
低权限用户构成重大威胁
多个漏洞会授予低权限用户未经授权的访问权限和功能。CVE-2024-45732 允许这些用户在 SplunkDeploymentServerConfig 应用程序中以 “nobody ”用户身份运行搜索,从而可能暴露受限数据。其他漏洞使低权限用户能够
- 查看主机上的图像 (CVE-2024-45734)
- 访问 Splunk 安全网关应用程序中的敏感配置数据 (CVE-2024-45735)
- 崩溃 Splunk 守护进程 (CVE-2024-45736)
- 操纵应用程序密钥值存储的维护模式状态 (CVE-2024-45737)
还解决了信息披露和跨站脚本 (XSS) 漏洞
除 RCE 和权限升级漏洞外,Splunk 还修补了可能导致敏感信息泄露 (CVE-2024-45738 和 CVE-2024-45739) 和持续跨站脚本 (CVE-2024-45740 和 CVE-2024-45741) 的漏洞。利用这些漏洞可泄露敏感数据或向其他用户浏览的网页注入恶意脚本。
Splunk 敦促用户立即更新
Splunk 已发布更新以解决这些漏洞,并强烈建议所有用户升级到最新的 Splunk Enterprise 和 Splunk Cloud Platform 版本。公司还为无法立即升级的用户提供了缓解和解决策略。
有关受影响版本的完整列表和每个漏洞的详细信息,请参阅 Splunk 安全咨询页面。
发表评论
您还未登录,请先登录。
登录