Splunk Enterprise < 5.0.17 / 6.0.13 / 6.1.12 / 6.2.12 / 6.3.8 / 6.4.4 或 Splunk Light < 6.5.0 多个漏洞

critical Nessus 插件 ID 94932

简介

远程 Web 服务器上运行的应用程序受到多个漏洞影响。

描述

根据其自我报告的版本号,远程 web 服务器上托管的 Splunk Enterprise 是低于 5.0.17 的 5.0.x、低于 6.0.13 的 6.0.x、低于 6.1.12 的 6.1.x、低于 6.2.12 的 6.2.x、低于 6.3.8 的 6.3.x 或低于 6.4.4 的 6.4.x;或者是低于 6.5.0 的 Splunk Light 版本。因而会受到多个漏洞的影响:- 由于未正确验证用户提供的输入,Python 中存在一个堆缓冲区溢出情况,尤其是在 Modules/zipimport.c 文件的 get_data() 函数中。未经身份验证的远程攻击者可利用此问题,通过负数大小值,造成拒绝服务情况,或是执行任意代码。(CVE-2016-5636) - Pytho 中存在 CRLF 注入漏洞,尤其是在 Modules/zipimport.c 文件的 HTTPConnection.putheader() 函数中。未经身份验证的远程攻击者可利用此问题,通过 URL 中的 CRLF 序列注入任意 HTTP 标头,允许跨站脚本 (XSS) 和其他攻击。(CVE-2016-5699) - 由于当 smtp 服务器能够协商 starttls 但不能正确作出响应时,未正确提出异常,导致 Python smtplib 库存在缺陷。中间人攻击者可利用此问题,通过“StartTLS 剥离攻击”绕过 TLS 保护。(CVE-2016-0772) - Splunk 中存在 HTTP 请求注入漏洞,允许泄露身份验证标记。未经身份验证的远程攻击者可利用此问题,以用户同等权利访问 Splunk REST API。请注意,以上提到的 Python 漏洞不会影响 Splunk Enterprise 6.4.x 版本,HTTP 请求注入漏洞不会影响 Splunk Ligh 版本。

解决方案

将 Splunk Enterprise 升级到 5.0.17 / 6.0.13 / 6.1.12 / 6.2.12 / 6.3.8 / 6.4.4 或更高版本,或将 Splunk Light 升级到 6.5.0 或更高版本。

另见

https://www.splunk.com/view/SP-CAAAPSR

插件详情

严重性: Critical

ID: 94932

文件名: splunk_650.nasl

版本: 1.9

类型: remote

系列: CGI abuses

发布时间: 2016/11/17

最近更新时间: 2019/11/14

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.8

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: cpe:/a:splunk:splunk

必需的 KB 项: installed_sw/Splunk

可利用: true

易利用性: No exploit is required

补丁发布日期: 2016/11/10

漏洞发布日期: 2014/11/24

参考资料信息

CVE: CVE-2016-0772, CVE-2016-5636, CVE-2016-5699

BID: 91225, 91226, 91247