Уязвимость некорректной проверки сертификатов TLS в CLI Splunk Enterprise и Universal Forwarder при подключении к удалённой платформе
Описание
В Splunk Enterprise и Universal Forwarder интерфейс командной строки (CLI) Splunk по умолчанию не проверяет сертификаты TLS при подключении к удаленной платформе Splunk. Уязвимость не затрагивает платформу Splunk Cloud. На момент публикации нет свидетельств эксплуатации этой уязвимости третьими лицами.
Затронутые версии ПО
- Splunk Enterprise и Universal Forwarder версий до 9.0
Тип уязвимости
Некорректная проверка TLS сертификатов
Дополнительная информация
После обновления до версии 9.0 необходимо настроить проверку имени хоста для TLS-сертификатов в Splunk CLI. Подробнее см. Configure TLS host name validation for the Splunk CLI.
Уровень сложности атаки
Для эксплуатации этой уязвимости требуется выполнение сложных условий, выходящих за рамки контроля злоумышленника, например, наличие атаки "машина-посередине" (machine-in-the-middle). Splunk оценивает сложность атаки как высокую.
Ссылки
- MitigationVendor Advisory
- Release NotesVendor Advisory
- Vendor Advisory
- MitigationVendor Advisory
- Release NotesVendor Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
8.1 High
CVSS3
6.8 Medium
CVSS2
Дефекты
Связанные уязвимости
In Splunk Enterprise and Universal Forwarder versions before 9.0, the Splunk command-line interface (CLI) did not validate TLS certificates while connecting to a remote Splunk platform instance by default. Splunk peer communications configured properly with valid certificates were not vulnerable. However, connections from misconfigured nodes without valid certificates did not fail by default. After updating to version 9.0, see Configure TLS host name validation for the Splunk CLI (https://docs.splunk.com/Documentation/Splunk/9.0.0/Security/EnableTLSCertHostnameValidation#Configure_TLS_host_name_validation_for_the_Splunk_CLI) to enable the remediation.
EPSS
8.1 High
CVSS3
6.8 Medium
CVSS2