Die nuwe vrystellings van die gesentraliseerde konfigurasiebestuurstelsel SaltStack 3002.5, 3001.6 en 3000.8 het 'n kwesbaarheid opgelos (CVE-2020-28243) wat 'n onbevoorregte plaaslike gebruiker van die gasheer toelaat om hul voorregte in die stelsel te eskaleer. Die probleem word veroorsaak deur 'n fout in die sout-minion-hanteerder wat gebruik word om opdragte vanaf die sentrale bediener te ontvang. Die kwesbaarheid is in November ontdek, maar is nou eers reggestel.
Wanneer die "herstartkontrole"-operasie uitgevoer word, is dit moontlik om arbitrêre opdragte te vervang deur die prosesnaam te manipuleer. Die versoek vir die teenwoordigheid van 'n pakket is veral uitgevoer deur die pakketbestuurder te begin en 'n argument wat van die prosesnaam afgelei is deur te gee. Die pakketbestuurder word geloods deur die popen-funksie in dopbekendstellingmodus te roep, maar sonder om spesiale karakters te ontsnap. Deur die prosesnaam te verander en simbole soos ";" te gebruik en "|" jy kan die uitvoering van jou kode organiseer.
Benewens die opgemerkte probleem, het SaltStack 3002.5 nog 9 kwesbaarhede reggestel:
- CVE-2021-25281 - as gevolg van die gebrek aan behoorlike gesagsverifikasie, kan 'n afstandaanvaller enige wielmodule aan die kant van die beheermeesterbediener begin deur toegang tot SaltAPI te verkry en die hele infrastruktuur in gedrang te bring.
- CVE-2021-3197 is 'n probleem in die SSH-module vir minion wat toelaat dat arbitrêre dop-opdragte uitgevoer word via argumentvervanging met die "ProxyCommand"-instelling of deur ssh_options deur die API deur te gee.
- CVE-2021-25282 Ongemagtigde toegang tot wheel_async laat 'n oproep na SaltAPI toe om 'n lêer buite die basisgids te oorskryf en arbitrêre kode op die stelsel uit te voer.
- CVE-2021-25283 'n Basiese gids buite die grense kwesbaarheid in die wheel.pillar_roots.write hanteerder in SaltAPI laat 'n arbitrêre sjabloon toe om by die jinja-weergawe gevoeg te word.
- CVE-2021-25284 – wagwoorde wat via webutils gestel is, is in duidelike teks in die /var/log/salt/minion-logboek gedeponeer.
- CVE-2021-3148 - Moontlike opdragvervanging via 'n SaltAPI-oproep na salt.utils.thin.gen_thin().
- CVE-2020-35662 - Ontbrekende SSL-sertifikaatverifikasie in verstekkonfigurasie.
- CVE-2021-3144 - Moontlikheid om euth-verifikasietokens te gebruik nadat hulle verval het.
- CVE-2020-28972 - Die kode het nie die bediener se SSL/TLS-sertifikaat nagegaan nie, wat MITM-aanvalle toegelaat het.
Bron: opennet.ru