Splunk risolve 16 vulnerabilità in Enterprise e Cloud Platform di cui 5 a rischio elevato

Facebook
WhatsApp
Twitter
LinkedIn
Telegram


Splunk risolve 16 vulnerabilità in Enterprise e Cloud Platform di cui 5 a rischio elevato


Splunk, fornitrice di soluzioni software per il monitoraggio e l’analisi dati, ha pubblicato lo scorso lunedì sedici advisory di sicurezza con cui ha risolto altrettante vulnerabilità, di cui cinque a rischio elevato.

I bug individuati colpiscono Cloud Platform ed Enterprise, piattaforme che consentono di cercare, analizzare e visualizzare i dati e prendere decisioni informate in base a essi.

Splunk vulnerabilità

Pixabay

Le CVE-2024-36982 e CVE-2024-36983 colpiscono entrambe le soluzioni. La prima permette a un attaccante di eseguire una null pointer reference nell’endpoint REST “cluster/config” per interrompere il daemon di Splunk, risultando quindi in un Denial of Service; la seconda risiede invece in una funzione legacy (il comando deprecato “runshellscript”) e permette a un utente autenticato di sfruttare questa funzione per iniettare codice nella cartella di installazione delle piattaforme, e da qui eseguire codice arbitrario sull’istanza in esecuzione.

Questi due bug colpiscono le versioni di Enterprise inferiori alla 9.2.2, alla 9.1.5 e alla 9.0.10 e la Cloud Platform nelle versioni inferiori alla 9.1.2312.109 e alla 9.1.2308.207.

Le altre tre vulnerabilità colpiscono soltanto Splunk Enterprise. La CVE-2024-36984 permette a un utente autenticato di eseguire una query apposita per serializzare dati inattendibili ed eseguire poi codice arbitrario.

Troviamo poi la CVE-2024-36985, una vulnerabilità che consente a un utente con privilegi minimi, senza ruolo “admin” o “power”, di eseguire codice remoto tramite lookup esterno che referenzia l’applicazione “splunk_archiver”. Questa applicazione contiene uno script chiamato “copybuckets.py” che referenzia a sua volta il file “erp_launcher.py” che provoca l’esecuzione dello script “sudobash”; poiché questo script per l’apertura di una bash shell non esegue alcun controllo dell’input, gli attaccanti possono inserire argomenti appositi per eseguire codice remoto.

Infine, la CVE-2024-36991 è un bug che consente di eseguire un path traversal sull’endpoint /modules/messaging/ di Splunk Enterprise per Windows.

Questi ultimi bug colpiscono le versioni della piattaforma inferiori alla 9.2.2, alla 9.1.5 e alla 9.0.10; nel caso dei primi due, i bug sono presenti solo su Windows.

Splunk invita i suoi utenti ad aggiornare il prima possibile le due piattaforme a versioni non vulnerabili.



Altro in questa categoria






Source link

Visited 2 times, 1 visit(s) today

Continua a leggere

assistente IA per lo shopping

Giusto in tempo per il Prime Day, Amazon ha annunciato la disponibilità generale di Rufus (solo negli Stati Uniti). L’assistente, annunciato nel

Scorri verso l'alto