Splunk Enterprise 9.0.0 < 9.0.8, 9.1.0 < 9.1.3 (SVD-2024-0109)
critical Nessus プラグイン ID 194920
Language:
概要
リモートの Web サーバーホストで実行されているアプリケーションは、脆弱性の影響を受けます。説明
リモートホストにインストールされている Splunk のバージョンは、テスト済みバージョンより前です。したがって、SVD-2024-0109 のアドバイザリに記載されている脆弱性の影響を受けます。- 行ディレクティブ (//line) を使用すると、//go:cgo_ ディレクティブの制限を回避し、コンパイル中にブロックされたリンカーとコンパイラフラグを渡すことができるようになります。これにより、go build の実行時に、いずれかのコードが予期せず実行される可能性があります。line ディレクティブでは、ディレクティブが存在するファイルの絶対パスが必要です。そのため、この問題の悪用が非常に複雑になります。(CVE-2023-39323)
- Python Charmer Future 0.18.2 以前で発見された問題により、リモートの攻撃者が、悪意のある Web サーバーから細工された Set-Cookie ヘッダーを介して、サービス拒否を引き起こす可能性があります。(CVE-2022-40899)
- HTTP/1 クライアントが、Host ヘッダーのコンテンツを完全に検証していません。悪意を持って細工された Host ヘッダーにより、追加のヘッダーまたはリクエスト全体が注入される可能性があります。この修正により、HTTP/1 クライアントは無効な Request.Host または Request.URL.Host 値を含むリクエストの送信を拒否するようになります。(CVE-2023-29406)
- 証明書チェーン内の非常に大きな RSA キーは、クライアントやサーバーが署名の検証に多大な CPU 時間を費やす原因となる可能性があります。修正により、ハンドシェイク中に送信される RSA キーのサイズは 8192 ビット以下に制限されています。公的に信頼されている RSA キーに関する調査によると、現在これより大きなキーを持つ証明書は 3 つしか流通しておらず、この 3 つすべては実際には展開されていないテスト証明書のようです。プライベート PKI ではより大きなキーが使用されている可能性はありますが、弊社は Web PKI を対象としているため、crypto/tls ユーザーの既定の安全性を高めるために、ここでの変更を行うことが合理的であると思われます。(CVE-2023-29409)
go コマンドは、cgo を使用中の場合、ビルドタイムに任意のコードを実行する可能性があります。これは悪意のあるモジュールで go get を実行している、あるいは信頼できないコードをビルドする他のコマンドを実行しているときに発生する可能性があります。これは、#cgo LDFLAGS ディレクティブで指定されたリンカーフラグにより発生する可能性があります。オプションではない多数のフラグの引数がオプションであると誤って見なされ、LDFLAGS サニタイズを通じて許可されていないフラグのスマグリングが可能になります。これは gc コンパイラと gccgo コンパイラの両方の使用に影響します。(CVE-2023-29404)
go コマンドは、cgo を使用中の場合、ビルドタイムに任意のコードを実行する可能性があります。これは悪意のあるモジュールで go get を実行している、あるいは信頼できないコードをビルドする他のコマンドを実行しているときに発生する可能性があります。これは、#cgo LDFLAGS ディレクティブで指定されたリンカーフラグにより発生する可能性があります。埋め込まれたスペースを含むフラグが不適切に処理されるため、別のフラグの引数に含めることで、許可されていないフラグを LDFLAGS サニタイズを通してスマグリングすることが可能です。これは gccgo コンパイラの使用にのみ影響します。(CVE-2023-29405)
- cgo の使用時に go コマンドがビルド時に予期しないコードを生成する可能性があります。これにより、cgo を使用する go プログラムの実行時に予期しない動作が発生する可能性があります。これは名前に改行文字があるディレクトリを含む信頼できないモジュールを実行しているときに発生する可能性があります。go コマンドを使用して、つまり go get を介して取得したモジュールは影響を受けません (GOPATH モードを使用して取得したモジュール、つまり GO111MODULE=off が影響を受ける可能性があります)。(CVE-2023-29402)
- Unix プラットフォームで、バイナリが setuid/setgid ビットで実行されている場合、Go ランタイムは異なる動作をしません。これにより、メモリ状態をダンプするときや、標準の i/o ファイル記述子のステータスを仮定するときなど、特定の場合に危険な場合があります。標準の I/O ファイル記述子を閉じた状態で setuid/setgid バイナリを実行した場合、ファイルを開くと、昇格した権限で予期しないコンテンツの読み書きが行われる可能性があります。
同様に、setuid/setgid プログラムがパニックまたはシグナルによって終了した場合、そのレジスタのコンテンツが漏洩する可能性があります。(CVE-2023-29403)
- Certifi は、TLS ホストの ID を検証する際に、SSL 証明書の信頼性を検証するための、ルート証明書のキュレーションされたコレクションです。バージョン 2023.07.22 より前の Certifi は、e-Tugra ルート証明書を認識します。e-Tugra のルート証明書が、システムのセキュリティ問題の報告を受けて調査の対象になりました。Certifi 2023.07.22 は、e-Tugra のルート証明書をルートストアから削除します。(CVE-2023-37920)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
Splunk Enterprise をバージョン9.0.8、9.1.3、またはそれ以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: Critical
ID: 194920
ファイル名: splunk_913_svd-2024-0109.nasl
バージョン: 1.1
タイプ: combined
エージェント: windows, macosx, unix
ファミリー: CGI abuses
公開日: 2024/5/2
更新日: 2024/5/29
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Critical
基本値: 10
現状値: 7.8
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS スコアのソース: CVE-2023-37920
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:splunk:splunk
必要な KB アイテム: installed_sw/Splunk
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2024/1/22
脆弱性公開日: 2024/1/22
参照情報
CVE: CVE-2022-40899, CVE-2023-29402, CVE-2023-29403, CVE-2023-29404, CVE-2023-29405, CVE-2023-29406, CVE-2023-29409, CVE-2023-37920, CVE-2023-39323