Eine Sicherheitslücke im proprietären Monitoring- und Reporting-Tool Splunk hat zur Folge, dass ein entfernter Angreifer Clickjacking-Attacken durchführen kann. Beim Clickjacking überlagert der Angreifer die Darstellung einer Webseite und veranlasst Nutzer dazu, mit scheinbar harmlosen Mausklicks oder Tastatureingaben von ihm gewünschte Aktionen durchzuführen.
In den Jahren 2009 und 2010 haben zahlreiche Browser-Hersteller den Non-Standard HTTP-Header (RFC 2616) “X-Frame-Options” eingeführt, um solche Attacken zu vereiteln. Bei fast allen Browser gibt es damit die Möglichkeit, dass Webanwendungen eine X-Frame-Option senden, die dem Browser anzeigt, ob er den Inhalt in einem Frame anzeigen werden darf oder nicht. Dadurch lassen sich Clickjacking-Attacken verhindern.
Insgesamt gibt es für “X-Frame-Options” drei verschiedene Einstellungen: “DENY” (Seite darf nicht in Frame angezeigt werden), “SAMEORIGIN” (Seite darf nur von Frames auf derselben Domain angezeigt werden), und “ALLOW-FROM” (Seite darf von spezfizierter Domäne und URL angezeigt werden).
Diese Option war bis vor kurzem in Splunk noch nicht verfügbar, wodurch solche Attacken möglich waren. Die korrigierte Version setzt für alle Splunk-Seiten X-Frame-Options auf “SAMEORIGIN”.
Betroffen sind die Splunk-Versionen 5.0.3 und älter.
