Les nouvelles versions du système de gestion de configuration centralisé SaltStack 3002.5, 3001.6 et 3000.8 ont corrigé une vulnérabilité (CVE-2020-28243) qui permet à un utilisateur local non privilégié de l'hôte d'élever ses privilèges dans le système. Le problème est dû à un bug dans le gestionnaire salt-minion utilisé pour recevoir les commandes du serveur central. La vulnérabilité a été découverte en novembre, mais vient seulement d'être corrigée.
Lors de l'exécution de l'opération « restartcheck », il est possible de remplacer des commandes arbitraires en manipulant le nom du processus. En particulier, la demande de présence d'un package s'effectuait en lançant le gestionnaire de packages et en passant un argument dérivé du nom du processus. Le gestionnaire de packages se lance en appelant la fonction popen en mode de lancement shell, mais sans échapper les caractères spéciaux. En changeant le nom du processus et en utilisant des symboles tels que ";" et "|" vous pouvez organiser l'exécution de votre code.
En plus du problème signalé, SaltStack 3002.5 a corrigé 9 vulnérabilités supplémentaires :
- CVE-2021-25281 - en raison du manque de vérification d'autorité appropriée, un attaquant distant peut lancer n'importe quel module de roue du côté du serveur maître de contrôle en accédant à SaltAPI et compromettre l'ensemble de l'infrastructure.
- CVE-2021-3197 est un problème dans le module SSH pour minion qui permet d'exécuter des commandes shell arbitraires via la substitution d'arguments avec le paramètre « ProxyCommand » ou en passant ssh_options via l'API.
- CVE-2021-25282 L'accès non autorisé à wheel_async permet à un appel à SaltAPI d'écraser un fichier en dehors du répertoire de base et d'exécuter du code arbitraire sur le système.
- CVE-2021-25283 Une vulnérabilité hors limites du répertoire de base dans le gestionnaire wheel.pillar_roots.write de SaltAPI permet d'ajouter un modèle arbitraire au moteur de rendu jinja.
- CVE-2021-25284 – les mots de passe définis via webutils ont été déposés en texte clair dans le journal /var/log/salt/minion.
- CVE-2021-3148 - Substitution de commande possible via un appel SaltAPI à salt.utils.thin.gen_thin().
- CVE-2020-35662 - Vérification du certificat SSL manquante dans la configuration par défaut.
- CVE-2021-3144 - Possibilité d'utiliser les jetons d'authentification eauth après leur expiration.
- CVE-2020-28972 - Le code n'a pas vérifié le certificat SSL/TLS du serveur, ce qui permettait les attaques MITM.
Source: opennet.ru