zurück zum Artikel

Unsichere XML-Verarbeitung und ungenügende Prüfung von Logeinträgen ermöglichten Angreifern, eigenen Code in Splunk-Produkte zu schleusen.

Die Monitoring- und Datenanalyse-Software Splunk bekommt ein Sicherheitsupdate. Neben einigen Lücken in externen Bibliotheken behebt die aktualisierte Version auch zwei Sicherheitslücken in Splunk selber: Cross-Site-Scripting durch manipulierte Logzeilen und Codeschmuggel über XML-Dokumente.

Splunk Enterprise und Splunk Cloud erlauben Nutzern, eigene Dokumente mit XSLT-Daten ("eXtensible Stylesheet Language Transformations") hochzuladen, überprüfen diese Dateien allerdings nicht ausreichend. So können Angreifer ihren eigenen Code auf der betroffenen Splunk-Instanz ausführen. Der Hersteller der Datenanalyse-Software bewertet den Fehler mit einem hohen Risiko und 8.0/10 CVSS-Punkten; er trägt die CVE-ID CVE-2023-46214.

Auch in der Verarbeitung von Logdateien durch Splunk klaffte eine Lücke. Bastelte ein Angreifer eine Protokolldatei, die an der richtigen Stelle Javascript-Code enthielt, so wurde dieser ausgeführt, sobald ein Nutzer der Splunk-Webkonsole das präparierte Logfile mit aktiviertem Syntax-Highlighting anzeigte. Auch weil Angreifer Zugriff auf die durch Splunk verarbeiteten Logdateien benötigen, beziffern die Splunk-Sicherheitsfachleute die Lücke (CVE-2023-46213) nur mit einem mittleren Schweregrad und 4.8/10 CVSS-Punkten.

Updates für Splunk Enterprise, Add-ons und Cloud

Beide Sicherheitslücken betreffen Splunk 9. Im Detail sind die Web-Komponenten folgender Versionen angreifbar:

• Splunk Enterprise 9.0.0 bis 9.0.6
• Splunk Enterprise 9.1.0 bis 9.1.1 und
• Splunk Cloud vor Version 9.1.2308

Die Versionen 9.0.7 und 9.1.2 von Splunk Enterprise flicken die Fehler; Cloud-Kunden müssen sich nicht um Updates sorgen, sondern bleiben automatisch auf dem neuesten Stand.

Die aktualisierten Versionen beheben nicht nur den XSS- und Codeschmuggel-Fehler, sondern aktualisieren auch mitgelieferte externe Pakete wie bottle, python und OpenSSL auf neuere Versionen, um Sicherheitsprobleme zu beheben.

Die Sicherheit in den Splunk-Add-ons für Google Cloud Platform (GCP) und Amazon Web Services (AWS) haben die Entwickler ebenfalls durch Updates einiger mitgelieferter Pakete verbessert; der Schweregrad der ausgebesserten Lücken schwankt zwischen "hoch" und "niedrig". Zwar beziffert die Übersichtsseite für Splunk-Sicherheitshinweise [1] das Risiko als"kritisch", diese Einschätzung beruht jedoch offenbar auf einer veralteten CVSS-Bewertung einer Sicherheitslücke im Python-Paket "certifi" [2], die mittlerweile nur noch mit niedrigem Risiko versehen ist.

Splunk, gegründet 2003, steht derzeit kurz vor der Übernahme durch Cisco [3]. Erst in der vergangenen Woche war eine wichtige gesetzliche Meldefrist abgelaufen, welche die im September angekündigte Transaktion verzögert hatte. Nun kann die Übernahme vollzogen werden – Cisco bietet den Aktionären gut 143 Euro Kaufpreis pro Aktie, knapp 5 Euro mehr als der aktuelle Börsenkurs des Unternehmens.

(cku [4])

URL dieses Artikels:
https://www.heise.de/-9533636

Links in diesem Artikel:
[1] https://advisory.splunk.com/advisories
[2] https://github.com/certifi/python-certifi/security/advisories/GHSA-xqr8-7jwr-rhp7
[3] https://www.heise.de/news/Cisco-uebernimmt-Splunk-Ein-neues-Security-Schwergewicht-entsteht-9313563.html
[4] mailto:cku@heise.de

Copyright © 2023 Heise Medien