Die neuen Releases des zentralisierten Konfigurationsmanagementsystems SaltStack 3002.5, 3001.6 und 3000.8 haben eine Schwachstelle (CVE-2020-28243) behoben, die es einem unprivilegierten lokalen Benutzer des Hosts ermöglicht, seine Privilegien im System zu erweitern. Das Problem wird durch einen Fehler im Salt-Minion-Handler verursacht, der zum Empfangen von Befehlen vom zentralen Server verwendet wird. Die Schwachstelle wurde im November entdeckt, konnte aber erst jetzt behoben werden.
Bei der Durchführung der Operation „restartcheck“ ist es möglich, beliebige Befehle durch Manipulation des Prozessnamens zu ersetzen. Insbesondere wurde die Anfrage nach dem Vorhandensein eines Pakets ausgeführt, indem der Paketmanager gestartet und ein vom Prozessnamen abgeleitetes Argument übergeben wurde. Der Paketmanager wird durch Aufruf der Popen-Funktion im Shell-Startmodus gestartet, jedoch ohne Escapezeichen für Sonderzeichen. Durch Ändern des Prozessnamens und Verwenden von Symbolen wie „;“ und „|“ Sie können die Ausführung Ihres Codes organisieren.
Zusätzlich zu dem genannten Problem hat SaltStack 3002.5 neun weitere Schwachstellen behoben:
- CVE-2021-25281 – Aufgrund des Fehlens einer ordnungsgemäßen Autoritätsüberprüfung kann ein Remote-Angreifer jedes Wheel-Modul auf der Seite des Control-Master-Servers starten, indem er auf SaltAPI zugreift und die gesamte Infrastruktur kompromittiert.
- CVE-2021-3197 ist ein Problem im SSH-Modul für Minion, das die Ausführung beliebiger Shell-Befehle über Argumentersetzung mit der Einstellung „ProxyCommand“ oder Übergabe von ssh_options über die API ermöglicht.
- CVE-2021-25282 Unbefugter Zugriff auf Wheel_async ermöglicht einen Aufruf von SaltAPI, um eine Datei außerhalb des Basisverzeichnisses zu überschreiben und beliebigen Code auf dem System auszuführen.
- CVE-2021-25283 Eine Sicherheitslücke im Basisverzeichnis außerhalb der Grenzen im Wheel.pillar_roots.write-Handler in SaltAPI ermöglicht das Hinzufügen einer beliebigen Vorlage zum Jinja-Renderer.
- CVE-2021-25284 – Über Webutils festgelegte Passwörter wurden im Klartext im Protokoll /var/log/salt/minion abgelegt.
- CVE-2021-3148 – Mögliche Befehlsersetzung über einen SaltAPI-Aufruf an salt.utils.thin.gen_thin().
- CVE-2020-35662 – Fehlende SSL-Zertifikatsüberprüfung in der Standardkonfiguration.
- CVE-2021-3144 – Möglichkeit der Verwendung von eauth-Authentifizierungstokens nach deren Ablauf.
- CVE-2020-28972 – Der Code überprüfte nicht das SSL/TLS-Zertifikat des Servers, was MITM-Angriffe ermöglichte.
Source: opennet.ru