Advisory

Kerentanan pada Splunk Enterprise

November 29, 2023

Splunk adalah sebuah platform Big Data Analytic yang fungsinya mengumpulkan, menganalisis, mengolah, dan mengelola data dari berbagai macam sumber. Baru-baru ini Splunk telah merilis advisory terkait kerentanan high Remote Code Execution (CVE-2023-46214)Security update telah tersedia dan dihimbau untuk melakukan update patch sedini mungkin.

 

Deskripsi

1

 

 

Kerentanan CVE-2023-46214 masuk dalam kategori Remote Code Execution Vulnerability (RCE) dan memiliki nilai CVSSv3.1 8.0 (High).

Menurut keterangan dari Splunk, kerentanan disebabkan karena tidak adanya proses pemeriksaan dan sanitasi fungsi upload sehingga attacker dapat mengunggah file Extensible Stylesheet Language Transformations (XSLT) berbahaya yang dapat mengakibatkan eksekusi kode jarak jauh pada Splunk Enterprise Instance.

 

 

Produk Terdampak

2

 

 

Mitigasi

3

 

     
 
  1. Segera lakukan update sesuai dengan produk terdampak. Untuk Splunk Enterprise 9.0.0 - 9.0.6 update ke versi 9.0.7, untuk Splunk Enterprise 9.1.0-9.1.1 update ke versi 9.1.2
  2. Jika tidak bisa upgrade ke versi 9.0.7 atau 9.1.2, maka lakukan pembatasan input file XSLT sebagai validasi dengan merubah konfigurasi parameter enableSearchJobXslt pada file web.conf menjadi false
    ( https://docs.splunk.com/Documentation/Splunk/latest/Admin/Howtoeditaconfigurationfile )
  
     

 

Source

4

 

 

 

 

 

 

 

 

 

 

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts