Las nuevas versiones del sistema de gestión de configuración centralizado SaltStack 3002.5, 3001.6 y 3000.8 han solucionado una vulnerabilidad (CVE-2020-28243) que permite a un usuario local sin privilegios del host escalar sus privilegios en el sistema. El problema se debe a un error en el controlador salt-minion utilizado para recibir comandos del servidor central. La vulnerabilidad se descubrió en noviembre, pero recién ahora se ha solucionado.
Al realizar la operación "restartcheck", es posible sustituir comandos arbitrarios mediante la manipulación del nombre del proceso. En particular, la solicitud de la presencia de un paquete se realizaba iniciando el administrador de paquetes y pasando un argumento derivado del nombre del proceso. El administrador de paquetes se inicia llamando a la función popen en el modo de inicio del shell, pero sin escapar de los caracteres especiales. Cambiando el nombre del proceso y usando símbolos como ";" y "|" puedes organizar la ejecución de tu código.
Además del problema señalado, SaltStack 3002.5 ha solucionado 9 vulnerabilidades más:
- CVE-2021-25281: debido a la falta de verificación de autoridad adecuada, un atacante remoto puede iniciar cualquier módulo de rueda en el lado del servidor maestro de control accediendo a SaltAPI y comprometer toda la infraestructura.
- CVE-2021-3197 es un problema en el módulo SSH para minion que permite ejecutar comandos de shell arbitrarios mediante la sustitución de argumentos con la configuración “ProxyCommand” o pasando ssh_options a través de la API.
- CVE-2021-25282 El acceso no autorizado a wheel_async permite una llamada a SaltAPI para sobrescribir un archivo fuera del directorio base y ejecutar código arbitrario en el sistema.
- CVE-2021-25283 Una vulnerabilidad fuera de límites del directorio base en el controlador wheel.pillar_roots.write en SaltAPI permite agregar una plantilla arbitraria al renderizador jinja.
- CVE-2021-25284: las contraseñas configuradas a través de webutils se depositaron en texto sin cifrar en el registro /var/log/salt/minion.
- CVE-2021-3148: Posible sustitución de comandos mediante una llamada SaltAPI a salt.utils.thin.gen_thin().
- CVE-2020-35662: Falta la verificación del certificado SSL en la configuración predeterminada.
- CVE-2021-3144: Posibilidad de utilizar tokens de autenticación eauth después de que hayan caducado.
- CVE-2020-28972: el código no verificó el certificado SSL/TLS del servidor, lo que permitió ataques MITM.
Fuente: opennet.ru