概述
概述
我中心技术支撑单位“深圳网安检测”监测到 Splunk Enterprise 数据分析管理工具存在远程代码执行漏洞的通告(CVE-2022-32158),Splunk Enterprise 部署服务器9.0之前的版本允许客户端将转发器捆绑包通过该服务器部署到其他部署的客户端,攻击者通过控制通用转发器端点即可利用该漏洞执行任意代码。Splunk Enterprise 数据分析管理工具能够对采集的数据样本进行专业的解析,优化企业运维和业务绩效,在IT行业、企业方面以及财务金融领域起着重要作用。鉴于此次漏洞影响范围大,建议各行业单位及时自查使用情况,根据以下解决方案做好防护工作。
Splunk Enterprise 是一款功能丰富的用于大数据收集与分析的工具,使用它可收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据,从开源和专有的数据分析解决方案中提取实时流数据,数据分析解决方案包括 Apache Kafka、Kubernetes 和 AWS Firehouse Kineses,从而优化IT运维、企业安全和业务绩效。
漏洞详情
Splunk Enterprise 部署服务器9.0之前的版本存在远程代码执行漏洞,允许客户端将转发器捆绑包通过该服务器部署到其他部署客户端。控制了通用转发器端点的攻击者可利用该漏洞在订阅部署服务器的所有其他通用转发器端点上执行任意代码。
漏洞名称:Splunk Enterprise 远程代码执行漏洞
漏洞编号:CVE-2022-32158
危害等级:高
影响范围
影响范围
受影响版本
· Splunk Enterprise < 9.0
不受影响版本
· Splunk Enterprise >= 9.0
解决方案
解决方案
目前,Splunk 官方已给出解决方案,请将 Splunk Enterprise deployment servers 升级至9.0 或以上版本:
https://www.splunk.com/en_us/download/splunk-enterprise.html
[1]https://www.cisecurity.org/advisory/a-vulnerability-in-splunk-enterprise-deployment-servers-could-allow-for-arbitrary-code-execution_2022-083
[2]https://www.splunk.com/en_us/product-security/announcements/svd-2022-0608.html
原文始发于微信公众号(广东省网络安全应急响应中心):【漏洞通告】关于 Splunk Enterprise 数据分析管理工具 远程代码执行漏洞的通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论