Splunk, Cactus, Checkmk: İzleme yazılımındaki güvenlik açıkları
Üç izleme çözümünün geliştiricileri güvenlik açıklarını rapor ediyor ve yamalar sunuyor. Splunk, Checkmk ve Cactus'un her ikisi de güvenlik sorunlarına yönelik yazılım yamaları yayınladı. Her üründe en az bir yüksek risk düzeyine sahip sorunlar bulunur.
Duyuru
Checkmk'te üç yüksek riskli sızıntı
Aynı anda üç boşluk yüksek Checkmk izleme çözümünde şiddet düzeyi ve CVSS puanı 8,8 arasında bir boşluk var:
Belirli koşullar altında, devre dışı bırakılan kullanıcılar checkmk otomasyon ortamına erişmeye devam edebilir ve böylece mevcut erişim kısıtlamalarını atlayabilir. CVE ID CVE-2023-31211'e sahip güvenlik açığı 1.5.0, 1.6.0, 2.0.0, 2.1.0 ve 2.2.0 sürümlerinde mevcuttur; 2.1.0p38, 2.2.0p18 ve 2.3.0b1 sürümlerinde düzeltildi.
Eklentide mk_tsmTivoli Depolama Yöneticisi (TSM) örneklerini izlemeye yönelik olan bu saldırıda, izlenen TSM örneğine erişimi olan saldırganlar, TSM üzerinde özel hazırlanmış bir sistem komutunu çalıştırarak izleme sunucusunda kök ayrıcalıkları elde edebilir. Güvenlik açığının CVE tanımlayıcısı CVE-2023-6735'tir.
Eklentideki bir hatayı kullanmak bile jar_signature (CVE-2023-6740), saldırganlar dosyayı indirerek root erişimi elde edebilir jarsigner kötü amaçlı bir komut dosyasıyla değiştirin ve JAVA_HOME dizinine kopyalayın. Bu komut dosyası daha sonra kök ayrıcalıklarıyla çalıştırılır.
Aradaki boşluğa izin ver mk_tsm– ve ayrıca jar_signature-2.0.0 ve önceki versiyonların yanı sıra 2.1.0 ve 2.2.0 versiyonlarındaki eklentilerdeki boşluklar. Yöneticiler 2.1.0p38, 2.2.0p18, 2.3.0b1 sürümüne güncelleme yapmalı veya güvenlik açığı olan eklentileri devre dışı bırakmalıdır.
Kaktüslerde kod yürütme ile SQL enjeksiyonu
Ücretsiz izleme yazılımı Cacti'nin 1.2.25 sürümündeki bir SQL enjeksiyon güvenlik açığı sorunlara neden oluyor. CVE Kimliği CVE-2023-51448 olan güvenlik açığı 8,8 CVE puanı alır ve yalnızca kayıtlı kullanıcılar tarafından kullanılabilir. Değişkeni içeren kaktüs yoklama bileşeninde bulunabilir. $dbhost bir HTTP isteğinden alınır ve daha fazla filtrelemeye gerek kalmadan bir SQL sorgusuna eklenir. Kod örnekleri de dahil olmak üzere ayrıntılı hata belgelerine GitHub'da ulaşılabilir.
Başka bir bağlantı işleme güvenlik açığıyla (CVE-2023-49084, CVSSv3.1 8.0/10) birlikte kayıtlı bir Cacti kullanıcısı, web sunucusu kullanıcısının haklarıyla isteğe bağlı PHP kodunu ve dolayısıyla sistem komutlarını yürütebilir (Genellikle www-data) – GitHub'daki birçok ekran görüntüsüyle birlikte ayrıntılı bir bildirimi de buradan okuyabilirsiniz.
Cacti projesi onlarca yıldır ciddi güvenlik açıklarıyla boğuşuyor; bunların arasında geçen yıl rastgele kod çalıştırılmasına da yol açan bir hata da yer alıyor.
Splunk, DoS ve harici kütüphane güvenlik açıklarından muzdariptir
Splunk ekibi, “Splunk Enterprise Security” ve “Splunk User Behavior Analytics” (UBA) ürünleri için dört güvenlik önerisi yayınladı.
İkinci yazılım bazı güvenlik açıklarına tabidir daha yüksek Sırasıyla 5.3.0 ve 5.2.1'in altındaki UBA sürümleriyle birlikte gönderilen soket.io-parser, protobuf ve Guava harici paketlerinde ciddi şekilde etkilenmiştir. Splunk ayrıntıları bir güvenlik notunda özetledi.
Benzer güvenlik açıkları Splunk Enterprise Security'de (ES) bulunabilir ancak bunlar risk seviyesine kadardır”eleştirmen” yoğunlaştırın. Ayrıntıları yine bir güvenlik notunda bulabilirsiniz.
İki hizmet reddi güvenlik açığı için ayrı bir CVE kimliği (CVE-2024-22164 ve CVE-2024-22165) bulunmaktadır. yarım Önem düzeyi (CVSSv3 6.5/10 veya 4.3/10) “Soruşturma Yönetimi”nde gizlidir. Geçerli bir hesaba sahip olan saldırganlar, ev yapımı bir araştırma oluşturabilir ve sunucuyu iki farklı şekilde çökertebilir.
Splunk Enterprise kullanıcılarının kurulumlarını temiz 7.1.2, 7.2.0, 7.3.0 veya sonraki sürümlere güncellemeleri önerilir.
(cku)
Haberin Sonu