Monitoringsoftware Splunk: Teils kritische Sicherheitslücken

Der Hersteller Splunk hat für die IT-Überwachungssoftware gleichen Namens Aktualisierungen veröffentlicht, die einige Sicherheitslücken darin abdichten. Neben verwundbaren Dritthersteller-Softwarepaketen sind Splunk Enterprise und Splunk Cloud betroffen.

Die Dritthersteller-Komponenten go, future (Python 2 und Ptyhon 3) und certifi enthalten Schwachstellen, deren Gesamtrisiko die Splunk-Entwickler als "kritisch" einstufen. Insbesondere in den go-Bibliotheken klaffen kritische Lecks, wie die Splunk-Sicherheitsmitteilung beschreibt. Splunk Enterprise für Windows überprüft und korrigiert übergebene Pfade nicht korrekt. Dadurch könne es zur unsicheren Deserialisierung von nicht vertrauenswürdigen Daten von einer weiteren Laufwerkspartition auf der Maschine kommen (CVE-2024-23678, CVSS 7.5, Risiko "hoch").

Fünf Sicherheitshinweise von Splunk

Außerdem haben die Entwickler von Splunk noch drei weitere Sicherheitslecks gestopft. Die Rechteverwaltung für den "App Keys Value"-Speicher (KV Store) schlampte für Nutzer der REST-API, wodurch bösartige Akteure unbefugt KV-Store-Sammlungen löschen konnten (CVE-2024-23675, CVSS 6.5, mittel). In Splunk Web können Nutzer unbefugt auf Daten zugreifen, wozu ihnen eigentlich die Berechtigung fehlt (CVE-2024-23676, CVSS 4.6, mittel) sowie sensible Informationen in Log-Dateien landen (CVE-2024-23677, CVSS 4.3, mittel).

Die Schwachstellen betreffen Splunk Enterprise 9.0.0 bis 9.0.7, Splunk Enterprise 9.1.0 bis 9.1.2, sowie teils auch Splunk Cloud vor 9.0.2208 und vor 9.1.2312.100. Splunk Enterprise 9.0.8 und 9.1.3 korrigieren die sicherheitsrelevanten Fehler. IT-Verantwortliche mit Splunk-Installationen sollten die bereitstehenden Aktualisierungen zeitnah anwenden, um die potenzielle Angriffsfläche zu minimieren.

Schon Anfang Januar hatte Splunk Aktualisierungen veröffentlicht. Damit hatten die Entwickler ebenfalls kritische und hochriskante Sicherheitslücken ausgebessert.

(dmk)