Splunk Enterprise の複数の深刻な脆弱性が FIX：早急なパッチ適用が推奨されている

Splunk Enterprise Updates Patch High-Severity Vulnerabilities

2023/02/15 SecurityWeek — 2月14日に Splunk は、Splunk Enterprise のアップデートを発表した。それにより、同製品で使用されるサードパーティ・パッケージに影響を与える、複数の深刻な脆弱性が解決されることになる。 最も深刻な脆弱性は CVE-2023-22939／CVE-2023-22935 (CVSS：8.1) であり、危険なコマンドに対する Search Processing Language (SPL) セーフガードが、バイパスされる可能性が生じるという。どちらの脆弱性も、Splunk Web を有効にしたインスタンスに影響するが、前提として高特権ユーザーによるブラウザ・リクエストが必要となる。

脆弱性 CVE-2023-22934 は、Splunk Enterprise における別の SPL セーフガード・バイパスであり、認証されたユーザーがブラウザでリクエストを行う前に、何らかのジョブを作成／保存しておく必要がある。

その他にも、Splunk は２つの深刻度の高いクロス・サイト・スクリプティング (XSS) 脆弱性 CVE-2023-22932／CVE-2023-22933 も対するパッチもリリースしている。また、悪意の兆候を探るための、追加リソースを公開している。

さらに、Splunk Enterprise に存在する、深刻度 Medium 脆弱性へのパッチもリリースされているが、そのうちのいくつかは、情報漏洩／Splunk インスタンスとしてのメール送信／不要なファイル名拡張子を持つルックアップテーブルのアップロード／サーバ・サイド・リクエスト・フォージェリ (SSRF) へと至る可能性があるという。その他にも、既存の RSS フィードの上書き／Splunk デーモンのクラッシュ／SSG App Key Value Store コレクションの不正な更新／サードパーティ API への不正リクエストなどの可能性があるという。

Splunk は、同社の製品が Apache Common Text JavaScript ライブラリの脆弱性 Text4Shell (CVE-2022-42889) の影響を受けていないことも説明している。この脆弱性が悪用されると、任意のコード実行が生じることになる。

今回は、Splunk Enterprise のサードパーティ・ライブラリに存在する、複数の脆弱性に対するパッチがリリースされているが、その中で最も深刻なものは、XML ドキュメント・パースライブラリ libxml2 に存在する、２つの脆弱性 CVE-2021-3518 (CVSS：8.8)／CVE-2021-3517 (CVSS：8.6) である。

これらの問題は、”use-after-free” および “out-of-bounds read” の欠陥として説明され、細工したファイルを脆弱なアプリケーションに送信することで、悪用される可能性があるとしている。悪用に成功した攻撃者により、アプリケーションの可用性／機密性／完全性に影響が生じる可能性がある。

Splunk は、Node.js における OS コマンド・インジェクションの CVE-2022-32212 (CVSS：8.1) を解決している。また、日付のパース／フォーマット／操作／検証などを行う、JavaScript ライブラリ Moment.js におけるパス・トラバーサル脆弱性 CVE-2022-24785 と、非効率なパース・アルゴリズムの脆弱性 CVE-2022-31129 も解決している。

今週に Splunk Enterprise が対処した、その他のサードパーティ・パッケージの脆弱性には、python-lxml の clean モジュールにおける XSS 脆弱性 CVE-2021-28957 と、libxml2 における NULL 参照の脆弱性 CVE-2021-3537 がある。

Splunk Enterprise のバージョン 8.1.13／8.2.10／9.0.4 には、一連の脆弱性に対するパッチが含まれている。ユーザーに対して、可能な限り早急なパッチ適用が推奨される。解決された問題についての追加情報は、Splunk のセキュリティ・アドバイザリ・ページで確認できる。

Splunk に脆弱性という記事は珍しいので、お隣のキュレーション・チームに聞いてみたところ、2022年6月／8月／11月に脆弱性を FIX しているとのことでした。これまで、見落としていたのかもしれませんが、今回の脆弱性について記事にしているのは、SecurityWeek だけだったような気もします。