検出

Splunk Enterprise 9.0.0 < 9.0.9、9.1.0 < 9.1.4、9.2.0 < 9.2.1 (SVD-2024-0301)

high Nessus プラグイン ID 192633

Language:

概要

リモートの Web サーバーホストで実行されているアプリケーションは、脆弱性の影響を受けます。

説明

リモートホストにインストールされている Splunk のバージョンは、テスト済みバージョンより前です。したがって、SVD-2024-0301 のアドバイザリに記載されている脆弱性の影響を受けます。

 - 9.2.1、9.1.4、9.0.9 より前のバージョンの Splunk Enterprise では、ソフトウェアがトークン検証プロセス中に認証トークンを漏洩する可能性があります。このサイバーエクスポージャーは、Splunk Enterprise がデバッグモードで実行されているか、JsonWebToken コンポーネントが DEBUG ログレベルでアクティビティを記録するように設定されている場合に発生します。(CVE-2024-29945)

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Splunk Enterprise インスタンスの設定方法に応じて複数のソリューションがあります。まず、グローバルまたは JsonWebToken コンポーネントでデバッグロギングがオンになっているかどうかを確認します。これらのアクションを実行するには、Splunk Enterprise インスタンスに管理者ユーザーまたは同等のユーザーとしてログインする必要があります。インスタンスの現在のグローバルロギングモードを確認するには、次の手順に従います。Web ブラウザで、Splunk Web の /en- US/manager/system/server/logger にあるサーバーロギング設定ページにアクセスします。読み込まれたページのロギングレベル列を確認します。この列のすべての行でロギングレベルが DEBUG と表示されている場合、Splunk Enterprise インスタンスはデバッグモードです。それ以外の場合は、デバッグモードではありません。JsonWebToken プロセッサーの現在のロギングレベルを確認するには、次の手順に従います。Web ブラウザで、/en-US/manager/system/server/logger?search=JsonWebToken にアクセスして、JsonWebToken プロセッサー設定を検索します。プロセッサーのロギングレベル列を確認します。この行の値が DEBUG の場合、プロセッサーは現在、アクティビティを DEBUG レベルで記録しています。詳細については、デバッグロギングの有効化を参照してください。これらの手順のいずれかで、グローバルまたは JsonWebToken コンポーネントに対してデバッグロギングがオンになっている場合は、次のタスクを実行して問題を解決します。Splunk Enterprise をバージョン 9.2.1、9.1.4、9.0.9 以降にアップグレードしてください。Splunk Enterprise インスタンスの次のログファイルを削除します:
$SPLUNK_HOME/var/log/splunk/splunkd。log Splunk Enterprise インスタンスで Splunk Web にログインし、次の検索コマンドを実行して、_internal インデックスから JsonWebToken コンポーネントのすべてのログファイルイベントを削除します: index=_internal component=JsonWebToken | delete。注意: SPL コマンドの削除には can_delete ロールが必要ですが、管理者にはデフォルトでは付与されません。検索コマンドの削除の詳細については、削除を参照してください。ログインしている間に、漏洩した可能性のある認証トークンをローテーションします。詳細については、認証トークンを管理または削除を参照してください。

参考資料

https://advisory.splunk.com/advisories/SVD-2024-0301.html

プラグインの詳細

深刻度: High

ID: 192633

ファイル名: splunk_921_cve-2024-29945.nasl

バージョン: 1.2

タイプ: combined

エージェント: windows, macosx, unix

ファミリー: CGI abuses

公開日: 2024/3/27

更新日: 2024/4/26

設定: パラノイドモードの有効化

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: High

基本値: 8.3

現状値: 6.1

ベクトル: CVSS2#AV:N/AC:L/Au:M/C:C/I:C/A:C

CVSS スコアのソース: CVE-2024-29945

CVSS v3

リスクファクター: High

基本値: 7.2

現状値: 6.3

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/a:splunk:splunk

必要な KB アイテム: installed_sw/Splunk, Settings/ParanoidReport

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/3/27

脆弱性公開日: 2024/3/27

参照情報

CVE: CVE-2024-29945

CWE: 532

IAVA: 2024-A-0187