Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0301)
high Nessus Plugin ID 192633
語系:
概要
遠端 Web 伺服器上執行的應用程式受到一個弱點影響說明
遠端主機上安裝的 Splunk 版本低於測試版本。因此,它受到 SVD-2024-0301 公告中提及的一個弱點影響。- 在低於 9.2.1、9.1.4 和 9.0.9 版本的 Splunk Enterprise 中,軟體可能在 token 驗證處理程序期間洩漏驗證 token。當 Splunk Enterprise 在除錯模式下執行,或 JsonWebToken 元件已設定為在 DEBUG 記錄層級記錄其活動時,會發生此洩漏。(CVE-2024-29945)
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
根據您設定 Splunk Enterprise 執行個體的方式不同,存在多個解決方案。首先,判斷是否已全域或 JsonWebToken 元件的偵錯記錄功能已開啟。您必須以管理員使用者或同等使用者的身分登入 Splunk Enterprise 執行個體,才能執行這些動作。若要判斷執行個體目前的全域記錄模式:在網頁瀏覽器中,造訪 Splunk Web 中的伺服器記錄設定頁面,網址為:/en- US/ manager/system/server/logger。檢查載入頁面上的「記錄層級」欄。如果此欄的每一列都將 DEBUG 顯示為記錄層級,則 Splunk Enterprise 執行個體處於偵錯模式。否則,其不會處於除錯模式。若要判斷 JsonWebToken 處理器目前的記錄層級:在網頁瀏覽器中,造訪 /en-US/manager/system/server/logger?search=JsonWebToken,以搜尋 JsonWebToken 處理器組態。檢閱處理器的「記錄層級」欄。如果此列的值為 DEBUG,則處理器目前會在 DEBUG 層級記錄其活動。如需詳細資訊,請參閱「啟用偵錯記錄」。如果其中一個步驟判斷全域或 JsonWebToken 元件的偵錯記錄已開啟,則透過執行下列工作解決此問題:將 Splunk Enterprise 升級至 9.2.1、9.1.4、9.0.9 或更高版本。刪除 Splunk Enterprise 執行個體上的下列記錄檔:$SPLUNK_HOME/var/log/splunk/splunkd。登入 Splunk Enterprise 執行個體上的 Splunk Web,並透過執行下列搜尋命令,從 _internal 索引中刪除 JsonWebToken 元件的所有記錄檔事件:index=_internal component=JsonWebToken | delete 注意:刪除 SPL 命令需要 can_delete 角色,系統管理員預設不會收到此角色的訊息。請參閱刪除以取得刪除搜尋命令的詳細資訊。當您登入時,輪替任何可能洩漏的驗證 token。如需詳細資訊,請參閱管理或刪除驗證 token。
另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 192633
檔案名稱: splunk_921_cve-2024-29945.nasl
版本: 1.2
類型: combined
代理程式: windows, macosx, unix
系列: CGI abuses
已發布: 2024/3/27
已更新: 2024/4/26
組態: 啟用 Paranoid 模式
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 6.7
CVSS v2
風險因素: High
基本分數: 8.3
時間分數: 6.1
媒介: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2024-29945
CVSS v3
風險因素: High
基本分數: 7.2
時間分數: 6.3
媒介: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:splunk:splunk
必要的 KB 項目: installed_sw/Splunk, Settings/ParanoidReport
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2024/3/27
弱點發布日期: 2024/3/27
參考資訊
CVE: CVE-2024-29945
CWE: 532
IAVA: 2024-A-0187