ในวันพฤหัสบดีที่ผ่านมา (25 พ.ค. 2023) Splunk ประกาศการอัปเดตแพตซ์ด้านความปลอดภัยของ Splunk Enterprise เพื่อแก้ไขช่องโหว่ที่มีระดับความรุนแรงสูงหลายรายการ รวมถึงบางรายการที่มีผลกระทบต่อ third-party packages ที่ใช้ผลิตภัณฑ์นี้
ช่องโหว่ที่รุนแรงที่สุดคือ CVE-2023-32707 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ ทำให้ผู้ใช้งานที่มีสิทธิ์ต่ำที่มีความสามารถ 'edit_user' ยกระดับสิทธิ์เป็นผู้ดูแลระบบผ่าน web request ที่ถูกสร้างขึ้นโดยเฉพาะ
Splunk อธิบายว่า "สาเหตุเกิดขึ้นเนื่องจากความสามารถ 'edit_user' ไม่เป็นไปตามการตั้งค่า 'grantableRoles' ในไฟล์ configuration authorize.conf ซึ่งการออัปเดตแพตซ์จะป้องกันสถานการณ์เช่นนี้ไม่ให้เกิดขึ้นอีก"
ถัดมาคือ CVE-2023-32706 เป็นช่องโหว่ในการปฏิเสธการให้บริการ (DoS) ใน Splunk daemon ซึ่งเกิดขึ้นเมื่อ XML parser ได้รับข้อความที่ถูกสร้างขึ้นเป็นพิเศษจาก SAML authentication
อินพุตประกอบด้วยการอ้างอิงถึง entity expansion และ recursive references ทำให้ XML parser ใช้หน่วยความจำทั้งหมดที่มีอยู่บนเครื่อง ซึ่งนำไปสู่การหยุดการทำงานของโปรแกรม หรือ process termination
ช่องโหว่ระดับสูงรายการอื่น ๆ ที่ได้รับการแก้ไขใน Splunk Enterprise คือ CVE-2023-32708 ซึ่งเป็นช่องโหว่ HTTP response splitting ที่อนุญาตให้ผู้ใช้งานที่มีสิทธิ์ต่ำเข้าถึง REST endpoints อื่น ๆ ในระบบ และสามารถดูเนื้อหาที่ถูกจำกัดได้
โดยวันที่ 25 พ.ค. 2023 ที่ผ่านมา Splunk ยังได้ออกแพตซ์อัปเดตเพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงหลายรายการใน third-party packages ที่ใช้ใน Splunk Enterprise เช่น Libxml2, OpenSSL, Curl, Libarchive, SQLite, Go และอื่น ๆ และช่องโหว่บางรายการถูกเผยแพร่มานานกว่า 4 ปีแล้ว
ทุกช่องโหว่เหล่านี้ได้รับการแก้ไขด้วย Splunk Enterprise เวอร์ชัน 8.1.14, 8.2.11 และ 9.0.5 โดยการอัปเดตจะแก้ไขช่องโหว่ระดับความรุนแรงสูง และช่องโหว่ความรุนแรงปานกลางหลายรายการ
Splunk ยังได้ประกาศการแก้ไขช่องโหว่ระดับความรุนแรงสูงใน Splunk App for Lookup File Editing และ Splunk App for Stream รวมถึงการแก้ไขใน third-party packages ที่ใช้ใน Splunk Universal Forwarders และ Splunk Cloud
ดูข้อมูลเพิ่มเติมเกี่ยวกับช่องโหว่ที่ได้รับการอัปเดตแพตช์ได้ในหน้าคำแนะนำด้านความปลอดภัยของ Splunk
You must be logged in to post a comment.