Patchday: Big-Data-Spezialist Splunk dichtet zwölf Schwachstellen ab

Der IT-Sicherheitsanbieter und Big-Data-Experte Splunk hat in der gleichnamigen Software zum Quartals-Patchday insgesamt zwölf Schwachstellen abgedichtet. Zudem ergänzt Splunk Aktualisierungen zu Dritthersteller-Komponenten, deren ältere Versionen ebenfalls ein hohes Sicherheitsrisiko darstellen.

Schwachstellen mit hohem Risiko

Der Hersteller listet insgesamt neun hochriskante Sicherheitslücken, zwei mittlere und eine mit niedrigem Bedrohungsgrad, die er mit aktualisierter Software abdichtet. So können authentifizierte Angreifer in Splunk Enterprise und in Splunk Cloud Platform beliebigen Code durch den PDF-Generator im Dashboard ausführen (CVE-2022-43571, CVSS 8.8, Risiko "hoch").

Angemeldete Nutzer können eine sogenannte XML External Entity Injection (XXE) ausnutzen, um inkorrekte Dokumente in einen Fehlerbericht einzuschmuggeln. Das könnte ermöglichen, an vertrauliche Daten zu gelangen und weiteren Schaden anzurichten (CVE-2022-43570, CVSS 8.8, hoch). Eine bestimmte View ermöglicht Cross-Site-Scripting-Angriffe, durch die etwa beliebiger JavaScript-Code in eine Webseite injiziert werden könnte (CVE-2022-43568, CVSS 8.8, hoch).

Durch die Funktion "mobile Alarmmeldungen" in der Splunk Secure Gateway-App könnten angemeldete Nutzer beliebige Betriebssystem-Befehle aus dem Internet einschleusen (CVE-2022-43567, CVSS 8.8, hoch). Wenn ein Angreifer einen Nutzer dazu bringt, eine Anfrage mit dessen Browser zu starten, könnte er Sicherheitsmaßnahmen aushebeln und gefährliche Befehle ausführen (CVE-2022-43565, CVSS 8.1, hoch). Dasselbe Fehlebild tritt mit einem anderem Suchkommando in der Software auf (CVE-2022-43563, CVSS 8.1, hoch).

Angemeldete Nutzer könnten zudem aufgrund einer persistenten Cross-Site-Scripting-Lücke beliebigen Script-Code unterschieben (CVE-2022-43569, CVSS 8.0, hoch). Sie könnten auch gefährliche Befehle im Kontext eines höher privilegierten Nutzers ausführen lassen, wenn sie diesen verleiten können, eine Anfrage im Browser zu starten (CVE-2022-43566, CVSS 7.3, hoch). Zudem enthält die Software eine Denial-of-Service-Lücke (CVE-2022-43572, CVSS 7.5, Risiko "hoch").

Fehlerbereinigte Versionen

Informationen zu den weniger gefährlichen Lücken listet Splunk auf der Webseite zu den Sicherheitslücken. Betroffen sind Splunk Enterprise vor den Versionen 8.1.12, 8.2.9 sowie 9.0.2 und in Splunk Cloud Platform vor 9.0.2211. Teilweise beheben schon ältere Cloud-Versionen wie 9.0.2205 einige der Lücken, jedoch schließt erst 9.0.2211 alle aufgeführten Schwachstellen.

Da die Schwachstellen zum großen Teil ein hohes Risiko darstellen, sollten IT-Verantwortliche insbesondere der lokalen On-Premise-Installationen zügig die bereitgestellten Aktualisierungen über die ihnen bekannten Wege herunterladen und installieren. Nutzer der Cloud-Versionen müssen gegebenenfalls einen Support-Fall eröffnen, um die Updates schneller zu erhalten. Der Anbieter patcht und überwacht die Cloud-Instanzen selbständig. Zuletzt musste Splunk im Juni dieses Jahres teils kritische Sicherheitslücken in der Software korrigieren.

(dmk)