У новых выпусках сістэмы цэнтралізаванага кіравання канфігурацыяй SaltStack 3002.5, 3001.6 і 3000.8 ухіленая ўразлівасць (CVE-2020-28243) якая дазваляе непрывілеяванаму лакальнаму карыстачу хаста падвысіць свае прывілеі ў сістэме. Праблема выклікана памылкай у апрацоўшчыку salt-minion, які ўжываецца для прыёму каманд з цэнтральнага сервера. Уразлівасць была выяўлена ў лістападзе, але выпраўлена толькі зараз.
Пры выкананні аперацыі "restartcheck" маецца магчымасць ажыццявіць падстаноўку адвольных каманд праз маніпуляцыі з імем працэсу. У прыватнасці, запыт наяўнасці пакета ажыццяўляўся праз запуск пакетнага мэнэджара з перадачай аргумента, атрыманага на аснове імя працэсу. Пакетны мэнэджар запускаецца праз выклік функцыі popen у рэжыме запуску shell, але без экранавання спецзнакаў. Змяніўшы імя працэсу і выкарыстоўваючы сімвалы падобныя ";" і «|» можна арганізаваць выкананне свайго кода.
Акрамя адзначанай праблемы ў SaltStack 3002.5 ухілена яшчэ 9 уразлівасцяў:
- CVE-2021-25281 - з-за адсутнасці належнай праверкі паўнамоцтваў выдалены атакавалы можа праз зварот да SaltAPI запусціць любы wheel-модуль на баку кіраўніка master-сервера і скампраметаваць усю інфраструктуру.
- CVE-2021-3197 - праблема ў SSH-модулі да minion, якая дазваляе выканаць адвольныя shell-каманды праз падстаноўку аргументу з наладай "ProxyCommand" або перадачу ssh_options праз API.
- CVE-2021-25282 - неаўтарызаваны доступ да wheel_async дазваляе праз зварот да SaltAPI перапісаць файл за межамі базавага каталога і выканаць адвольны код у сістэме.
- CVE-2021-25283 - выхад за межы базавага каталога ў апрацоўшчыку wheel.pillar_roots.write у SaltAPI дазваляе дадаць адвольны шаблон да jinja renderer.
- CVE-2021-25284 - задаюць праз webutils паролі асядалі ў адкрытым выглядзе ў логу /var/log/salt/minion .
- CVE-2021-3148 - магчымасць падстаноўкі каманд праз SaltAPI выклік salt.utils.thin.gen_thin().
- CVE-2020-35662 – адсутнасць праверкі SSL-сертыфіката ў канфігурацыі па змаўчанні.
- CVE-2021-3144 - магчымасць выкарыстання токенаў аўтэнтыфікацыі eauth пасля заканчэння часу іх дзеяння.
- CVE-2020-28972 – у кодзе не правяраўся SSL/TLS-сертыфікат сервера, што дазваляла здзейсніць MITM-напады.
Крыніца: opennet.ru