检测

Splunk Enterprise 9.1.0 < 9.1.6、9.2.0 < 9.2.3、9.3.0 < 9.3.1 (SVD-2024-1009)

medium Nessus 插件 ID 208940

语言:

简介

远程 Web 服务器主机上运行的应用程序受到一个漏洞的影响

描述

远程主机上安装的 Splunk 版本低于测试版本。因此,它受到 SVD-2024-1009 公告中提及的一个漏洞影响。

 - 在版本低于 9.3.1、9.2.3 和 9.1.6 的 Splunk Enterprise 中,软件可能会暴露本地原生认证 Splunk 用户的明文密码。当您在调试日志记录级别配置 Splunk Enterprise AdminManager 日志通道时,可能会发生此暴露问题。(CVE-2024-45739)

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

根据您配置 Splunk Enterprise 实例 AdminManager 日志通道的方式,有多种解决方案。首先,确定是否为 AdminManager 日志通道启用了调试日志记录。您必须以管理员用户或同等身份登录 Splunk Enterprise 实例,才能执行这些操作。若要确定实例上此日志通道的调试日志记录级别:1. 在 Web 浏览器中,访问 Splunk Web 中的“服务器日志设置”页面(网址为 /en- US/manager/system/server/logger)。2. 在加载的页面上查看“日志记录级别”列。如果此列中的 AdminManager 行显示日志记录级别为“调试”,则 Splunk Enterprise AdminManager 日志通道处于调试模式。
如果此行显示的不是“调试”,其不处于调试模式。请参阅“启用调试日志记录”以了解更多信息。如果上述步骤确定已在该日志通道中启用调试日志记录,则通过执行以下任务来解决问题:1. 将 Splunk Enterprise 升级到版本 9.3.1、9.2.3、9.1.6 或更高版本。 2. 在 Splunk Enterprise 实例中删除以下日志文件:$SPLUNK_HOME/var/log/splunk/splunkd.log 3. 通过运行以下搜索命令,从 _internal 索引中删除 AdminManager 组件的所有 Splunk Enterprise 日志文件事件:index=_internal component=AdminManager | delete

另见

https://advisory.splunk.com/advisories/SVD-2024-1009.html

插件详情

严重性: Medium

ID: 208940

文件名: splunk_931_cve-2024-45739.nasl

版本: 1.3

类型: combined

代理: windows, macosx, unix

系列: CGI abuses

发布时间: 2024/10/14

最近更新时间: 2024/12/12

配置: 启用偏执模式

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 6.1

时间分数: 4.5

矢量: CVSS2#AV:N/AC:L/Au:M/C:C/I:N/A:N

CVSS 分数来源: CVE-2024-45739

CVSS v3

风险因素: Medium

基本分数: 4.9

时间分数: 4.3

矢量: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/a:splunk:splunk

必需的 KB 项: Settings/ParanoidReport, installed_sw/Splunk

易利用性: No known exploits are available

补丁发布日期: 2024/10/14

漏洞发布日期: 2024/10/14

参考资料信息

CVE: CVE-2024-45739

CWE: 200

IAVA: 2024-A-0662-S