PT-2022-10326 · Splunk · Splunk Enterprise
Sharon Brizinov
+1
·
Publicado
2022-03-25
·
Atualizado
2022-04-11
·
CVE-2021-3422
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Splunk Enterprise anteriores à 7.3.9
Versões do Splunk Enterprise 8.0 anteriores à 8.0.9
Versões do Splunk Enterprise 8.1 anteriores à 8.1.3
Descrição
O problema está relacionado à falta de validação de um campo chave-valor no protocolo Splunk-to-Splunk, resultando em uma negação de serviço em instâncias do Splunk Enterprise configuradas para indexar o tráfego do Universal Forwarder. Isso não afeta os Universal Forwarders. Quando o encaminhamento do Splunk é protegido por TLS ou um token, o ataque requer o comprometimento do certificado ou do token, ou de ambos. A implementação de um ou de ambos reduz a gravidade para Média.
Recomendações
Para versões anteriores à 7.3.9, atualize para a versão 7.3.9 ou posterior.
Para versões 8.0 anteriores à 8.0.9, atualize para a versão 8.0.9 ou posterior.
Para versões 8.1 anteriores à 8.1.3, atualize para a versão 8.1.3 ou posterior.
Como medida de mitigação parcial e prática recomendada de segurança, considere proteger o encaminhamento do Splunk usando TLS ou um token para reduzir a gravidade para Média.
Correção
DoS
RCE
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Splunk Enterprise