Code-Schmuggel: Neue Splunk-Versionen beheben Sicherheitslücken
Unsichere XML-Verarbeitung und ungenügende Prüfung von Logeinträgen ermöglichten Angreifern, eigenen Code in Splunk-Produkte zu schleusen.
(Bild: Sashkin/Shutterstock.com)
Die Monitoring- und Datenanalyse-Software Splunk bekommt ein Sicherheitsupdate. Neben einigen Lücken in externen Bibliotheken behebt die aktualisierte Version auch zwei Sicherheitslücken in Splunk selber: Cross-Site-Scripting durch manipulierte Logzeilen und Codeschmuggel über XML-Dokumente.
Splunk Enterprise und Splunk Cloud erlauben Nutzern, eigene Dokumente mit XSLT-Daten ("eXtensible Stylesheet Language Transformations") hochzuladen, überprüfen diese Dateien allerdings nicht ausreichend. So können Angreifer ihren eigenen Code auf der betroffenen Splunk-Instanz ausführen. Der Hersteller der Datenanalyse-Software bewertet den Fehler mit einem hohen Risiko und 8.0/10 CVSS-Punkten; er trägt die CVE-ID CVE-2023-46214.
Auch in der Verarbeitung von Logdateien durch Splunk klaffte eine Lücke. Bastelte ein Angreifer eine Protokolldatei, die an der richtigen Stelle Javascript-Code enthielt, so wurde dieser ausgeführt, sobald ein Nutzer der Splunk-Webkonsole das präparierte Logfile mit aktiviertem Syntax-Highlighting anzeigte. Auch weil Angreifer Zugriff auf die durch Splunk verarbeiteten Logdateien benötigen, beziffern die Splunk-Sicherheitsfachleute die Lücke (CVE-2023-46213) nur mit einem mittleren Schweregrad und 4.8/10 CVSS-Punkten.
Updates für Splunk Enterprise, Add-ons und Cloud
Beide Sicherheitslücken betreffen Splunk 9. Im Detail sind die Web-Komponenten folgender Versionen angreifbar:
- Splunk Enterprise 9.0.0 bis 9.0.6
- Splunk Enterprise 9.1.0 bis 9.1.1 und
- Splunk Cloud vor Version 9.1.2308
Die Versionen 9.0.7 und 9.1.2 von Splunk Enterprise flicken die Fehler; Cloud-Kunden müssen sich nicht um Updates sorgen, sondern bleiben automatisch auf dem neuesten Stand.
Die aktualisierten Versionen beheben nicht nur den XSS- und Codeschmuggel-Fehler, sondern aktualisieren auch mitgelieferte externe Pakete wie bottle, python und OpenSSL auf neuere Versionen, um Sicherheitsprobleme zu beheben.
Die Sicherheit in den Splunk-Add-ons für Google Cloud Platform (GCP) und Amazon Web Services (AWS) haben die Entwickler ebenfalls durch Updates einiger mitgelieferter Pakete verbessert; der Schweregrad der ausgebesserten Lücken schwankt zwischen "hoch" und "niedrig". Zwar beziffert die Übersichtsseite für Splunk-Sicherheitshinweise das Risiko als"kritisch", diese Einschätzung beruht jedoch offenbar auf einer veralteten CVSS-Bewertung einer Sicherheitslücke im Python-Paket "certifi", die mittlerweile nur noch mit niedrigem Risiko versehen ist.
Splunk, gegründet 2003, steht derzeit kurz vor der Übernahme durch Cisco. Erst in der vergangenen Woche war eine wichtige gesetzliche Meldefrist abgelaufen, welche die im September angekündigte Transaktion verzögert hatte. Nun kann die Übernahme vollzogen werden – Cisco bietet den Aktionären gut 143 Euro Kaufpreis pro Aktie, knapp 5 Euro mehr als der aktuelle Börsenkurs des Unternehmens.
(cku)
