自己報告されたバージョン番号によると、リモートのWebサーバーでホストされているSplunk Enterpriseのバージョンは、5.0.17より前の5.0.x、6.0.13より前の6.0.x、6.1.12より前の6.1.x、6.2.12より前の6.2.x、6.3.8より前の6.3.x、6.4.4より前の6.4.x、または6.5.0より前のSplunk Lightです。したがって、以下の複数の脆弱性の影響を受けます。- ユーザー指定入力が不適切に検証されているため、PythonのModules/zipimport.cファイルのget_data()関数にヒープバッファオーバーフロー状態があります。認証されていないリモートの攻撃者がこれを悪用し、マイナスのデータサイズ値を介してサービス拒否状態または任意のコードの実行を引き起こす可能性があります。（CVE-2016-5636）- CRLFインジェクションの脆弱性が、PythonのModules/zipimport.cファイル内のHTTPConnection.putheader()関数にあります。認証されていないリモートの攻撃者がこれを悪用し、URLのCRLFシーケンスを介して任意のHTTPヘッダーを挿入し、クロスサイトスクリプティング（XSS）やその他の攻撃を行う可能性があります。（CVE-2016-5699）- smtpサーバーがstarttlsをネゴシエートしても正しく応答しないとき、例外を正しく発生させることができないため、smtplibライブラリ内のPythonに欠陥があります。中間にいる攻撃者はがこれを悪用し、「StartTLSストリッピング攻撃」によってTLS保護をバイパスする可能性があります。（CVE-2016-0772）- HTTPリクエストインジェクションの脆弱性がSplunkにあり、認証トークンが漏えいする可能性があります。認証されていないリモートの攻撃者がこれを悪用し、ユーザーと同じ権限でSplunk REST APIにアクセスする可能性があります。上述のPythonの脆弱性はSplunk Enterprise 6.4.xのバージョンには影響せず、HTTPリクエストインジェクションの脆弱性はSplunk Lightのバージョンに影響しません。

検出

Splunk Enterprise < 5.0.17/6.0.13/6.1.12/6.2.12/6.3.8/6.4.4またはSplunk Light < 6.5.0の複数の脆弱性

critical Nessus プラグイン ID 94932

バージョン 1.10