偵測

Splunk Enterprise 8.1 < 8.1.13、8.2.0 < 8.2.10、9.0.0 < 9.0.4 (SVD-2023-0215)

high Nessus Plugin ID 194924

語系:

概要

遠端 Web 伺服器上執行的應用程式受到一個弱點影響

說明

遠端主機上安裝的 Splunk 版本低於測試版本。因此,會受到 SVD-2023-0215 公告中提及的一個弱點影響。

 - Eventlet 是適用於 Python 的並行網路程式庫。Websocket 對等端可能會傳送非常大的 websocket 框架,進而耗盡 Eventlet 端的記憶體。惡意對等端可能會傳送高度壓縮的資料框架,進而耗盡 Eventlet 端的記憶體。0.31.0 版中的修補程式將 websocket 框架限定在合理的限制範圍內。作為因應措施,透過作業系統限制來限制記憶體使用量將有助於防止整個機器耗盡,但目前沒有任何因應措施可保護 Eventlet 處理程序。(CVE-2021-21419)

 - 在 python-lxml 的 clean 模組 4.6.3 之前版本中發現 XSS 弱點。停用 safe_attrs_only 和表單引數時,Cleaner 類別不會移除 formaction 屬性,這會允許 JS 繞過清理程式。遠端攻擊者可惡意利用此瑕疵,針對與未正確清理的 HTML 互動的使用者執行任意 JS 程式碼。此問題已在 lxml 4.6.3 中得到修補。
 (CVE-2021-28957)

 - Moment.js 是一個 JavaScript 日期庫,用於剖析、驗證、操作和格式化日期。Moment.js 1.0.1 至 2.29.1 版的 npm (伺服器) 使用者會受到路徑遊走弱點影響,尤其是在直接使用由使用者提供的地區設定字串來切換 moment 地區設定時。此問題已在 2.29.2 版中修補,且該修補程式可套用至所有受影響的版本。因應措施是,先清理使用者提供的地區名稱,然後再將其傳送至 Moment.js。(CVE-2022-24785)

 - moment 是一個 JavaScript 日期庫,用於剖析、驗證、操作和格式化日期。據發現,受影響的 moment 版本使用了低效率剖析演算法。具體而言,在 moment 中使用 string-to-date 剖析 (更確切地說,是預設嘗試的 rfc2822 剖析) 處理特定輸入時,複雜性爲二的次方 (N^2)。使用者可能會發現,當輸入資料超過 10k 字元時,處理速度會明顯減慢。如果使用者將由使用者提供的字串傳遞給 moment 建構函式,而未經過例行長度檢查,就容易遭受 (Re)DoS 攻擊。此問題已在 2.29.4 版中修補,且該修補程式可套用至調整極少的所有受影響的版本。建議所有使用者進行升級。無法升級的使用者應考慮限制接受使用者輸入的日期長度。(CVE-2022-31129)

 - 14.20.0、16.20.0、18.5.0 之前的 Node.js 版本中有一個 OS 命令注入弱點,這是因為 IsAllowedHost 檢查不充分所致,因為 IsIPAddress 在提出 DBS 要求之前未正確檢查 IP 位址是否無效,進而允許重新系結攻擊。(CVE-2022-32212)

 - 在 Python (即 CPython) 3.10.8 和之前的所有版本中,mailcap 模組不會將逸出字元新增到在系統 mailcap 檔案中發現的命令中。這可能允許攻擊者將 shell 命令插入使用未受信任的輸入呼叫 mailcap.findmatch 的應用程式中 (若未驗證使用者提供的檔案名稱或引數)。此修正也已反向移植至 3.7、 3.8、 3.9 (CVE-2015-20107)

 - 在 2.9.11 之前的版本中,libxml2 的 xml 實體編碼功能有一個缺陷。若攻擊者可提供特製的檔案,並由與 libxml2 受影響功能連結的應用程式處理,則可能會觸發超出邊界讀取。此缺陷最可能的影響是應用程式可用性,如果攻擊者能夠使用記憶體資訊來進一步惡意利用應用程式,則也可能會對機密性和完整性造成一些影響。(CVE-2021-3517)

 - 在 libxml2 2.9.11 之前的版本中發現一個弱點,顯示其在剖析 XML 混合內容時未傳播錯誤,進而造成 NULL 解除參照。如果在復原模式中剖析未受信任的 XML 文件並進行後驗證,攻擊者可能會利用此缺陷造成應用程式損毀。此弱點對系統可用性威脅最大。(CVE-2021-3537)

 - 在 2.9.11 之前的版本中,libxml2 有一個缺陷。能夠提交由與 libxml2 連結之應用程式處理的特製檔案的攻擊者可能會觸發釋放後使用。此缺陷對機密性、完整性和可用性影響最大。(CVE-2021-3518)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

建議 Splunk Enterprise 用戶升級至 8.1.12、8.2.9、9.0.4 或更高版本。針對低於 9.0.2209 的 Splunk Cloud Platform 版本,Splunk 會主動修補和監控 Splunk Cloud 執行個體。

另請參閱

https://advisory.splunk.com/advisories/SVD-2023-0215.html

Plugin 詳細資訊

嚴重性: High

ID: 194924

檔案名稱: splunk_904_cve-2021-21419.nasl

版本: 1.0

類型: combined

代理程式: windows, macosx, unix

系列: CGI abuses

已發布: 2024/5/2

已更新: 2024/5/2

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 8

時間分數: 6.3

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:C/A:P

CVSS 評分資料來源: CVE-2015-20107

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.9

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2021-3518

弱點資訊

CPE: cpe:/a:splunk:splunk

必要的 KB 項目: installed_sw/Splunk

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2023/2/14

弱點發布日期: 2021/3/21

參考資訊

CVE: CVE-2015-20107, CVE-2021-21419, CVE-2021-28957, CVE-2021-3517, CVE-2021-3518, CVE-2021-3537, CVE-2022-24785, CVE-2022-31129, CVE-2022-32212