吳明宜Splunk 本周稍早修補 Spunk Enterprise 軟體 11 項漏洞,包含 2 個可能導致攻擊者在 Windows 系統上遠端程式碼執行的漏洞。
其中最嚴重的 CVE-2024-45733 (CVSS 8.8) 為不安全會話儲存配置漏洞,可讓不具備管理員或”power” user 身份的攻擊者在 Windows 系統的根目錄寫入檔案,即使 Splunk Enterprise for Windows 安裝在另一個磁碟上。 Windows 系統目錄下有預設的 Windows System32 資料匣,使攻擊者得以寫入 DLL,一旦載入 Windows32 資料夾,即可遠端執行程式碼。
Splunk 表示本漏洞只影響執行在 Windows 機器上的執行個體,不以 Splunk Web 執行的執行個體也能倖免於難。
另一重大漏洞為 CVE-2024-45731 (CVSS 8.0),屬於能造成遠端程式碼執行的任意檔案寫入漏洞。 Splunk Enterprise 9.3.1 、 9.2.3 和 9.1.6 已解決了這二項漏洞。
此外 Splunk 也修補了位於 Splunk Enterprise 和 Splunk Cloud Platform 的高風險漏洞 CVE-2024-4573,該漏洞可讓低權限用戶可以「nobody」Splunk 角色執行搜尋,並存取受保護的資料。
Splunk 周一發佈的版本為 Splunk Enterprise 9.3.1 及 9.2.3 、 Splunk Cloud Platform 9.2.2403.103 、 9.1.2312.110 、 9.1.2312.200 、和 9.1.2308.208 。除了前述三項漏洞,更新版還修補了 8 個中度風險漏洞,後果包括可執行 JavaScript 程式碼、明文密碼曝光、 Splunk 精靈程式當掉、以及公鑰/私鑰與其他資料曝露。
來源:SecurityWeek