Splunk 是搜索、监控和分析机器生成大数据的软件领先提供商,为其旗舰产品 Splunk Enterprise 发布了紧急安全更新。
这些更新解决了几个构成重大安全风险的关键漏洞,包括远程代码执行 (RCE) 的可能性。
受影响的版本包括 * 9.0.x、9.1.x 和 9.2.x,这些漏洞已被内部和外部研究人员识别。
已解决的关键漏洞
这些更新中修复的关键漏洞如下:
-
CVE-2024-36984:此漏洞影响通过序列化会话有效负载执行任意代码。攻击者可以利用此缺陷通过操纵会话数据在服务器上执行任意命令。
-
CVE-2024-36985:此 RCE 漏洞与 splunk_archiver 应用程序中的外部搜索相关。利用此漏洞的攻击者可以远程执行代码,从而有可能获得对受影响系统的控制权。
-
CVE-2024-36991:此关键问题的详细信息尚未披露,但已被归类为需要立即关注的重大安全风险。
-
CVE-2024-36983:另一个严重漏洞是通过外部查找的命令注入。通过将命令注入搜索字段,攻击者可以执行任意命令,从而导致系统受损。
-
CVE-2024-36982:此问题涉及空指针引用,可能导致守护程序崩溃。虽然它可能不会导致直接代码执行,但它可能会破坏服务可用性,并可能被用于拒绝服务攻击。
其他漏洞
除了上述关键问题外,还解决了多个跨站脚本 (XSS)漏洞。
XSS 漏洞允许攻击者将恶意脚本注入其他用户查看的网页中,从而可能导致数据盗窃、会话劫持或其他恶意活动。
缓解措施和建议
Splunk已发布补丁来缓解这些漏洞。
强烈建议运行受影响 Splunk Enterprise 版本的用户升级到以下版本:
-
9.0.10
-
9.1.5
-
9.2.2
这些版本包含必要的修复程序,以保护系统免受已识别漏洞的影响。
及时应用这些更新对于维护 Splunk 环境的安全性和完整性至关重要。
对于Splunk Cloud Platform用户,会自动应用更新并进行持续监控,以确保云实例的安全。
及时更新的重要性
这些更新的发布凸显了快速修补对于维护安全 IT 环境的重要性。
鉴于漏洞的性质,特别是那些允许远程执行代码的漏洞,漏洞的潜在影响可能非常严重,从未经授权的数据访问到整个系统的危害。
依赖 Splunk Enterprise 进行关键数据分析和监控的组织应在其安全协议中优先考虑这些更新。
除了应用补丁之外,最好检查安全配置、审核系统日志是否存在异常活动,并确保定期进行安全评估。
Splunk Enterprise 中这些关键漏洞的发现和缓解凸显了保护复杂软件系统所面临的持续挑战。
随着威胁的发展,主动措施(包括及时修补和持续监控)对于防止潜在的攻击至关重要。
Splunk 对解决这些问题的快速响应提醒人们,及时的安全更新在保护组织的资产和数据完整性方面发挥着关键作用。
