Le nuove versioni del sistema di gestione della configurazione centralizzato SaltStack 3002.5, 3001.6 e 3000.8 hanno risolto una vulnerabilità (CVE-2020-28243) che consente a un utente locale non privilegiato dell'host di aumentare i propri privilegi nel sistema. Il problema è causato da un bug nel gestore salt-minion utilizzato per ricevere comandi dal server centrale. La vulnerabilità è stata scoperta a novembre, ma è stata risolta solo ora.
Quando si esegue l'operazione di “restartcheck”, è possibile sostituire comandi arbitrari manipolando il nome del processo. In particolare la richiesta della presenza di un pacchetto veniva effettuata lanciando il gestore pacchetti e passando un argomento derivato dal nome del processo. Il gestore pacchetti viene avviato chiamando la funzione popen in modalità di lancio della shell, ma senza caratteri speciali. Modificando il nome del processo e utilizzando simboli come ";" e "|" puoi organizzare l'esecuzione del tuo codice.
Oltre al problema segnalato, SaltStack 3002.5 ha corretto altre 9 vulnerabilità:
- CVE-2021-25281 - a causa della mancanza di un'adeguata verifica dell'autorità, un utente malintenzionato remoto può avviare qualsiasi modulo ruota sul lato del server master di controllo accedendo a SaltAPI e compromettere l'intera infrastruttura.
- CVE-2021-3197 è un problema nel modulo SSH per minion che consente di eseguire comandi shell arbitrari tramite la sostituzione di argomenti con l'impostazione "ProxyCommand" o passando ssh_options tramite l'API.
- CVE-2021-25282 L'accesso non autorizzato a wheel_async consente a una chiamata a SaltAPI di sovrascrivere un file all'esterno della directory di base ed eseguire codice arbitrario sul sistema.
- CVE-2021-25283 Una vulnerabilità fuori dai limiti della directory di base nel gestore wheel.pillar_roots.write in SaltAPI consente di aggiungere un modello arbitrario al renderer jinja.
- CVE-2021-25284 – le password impostate tramite webutils sono state depositate in testo non crittografato nel registro /var/log/salt/minion.
- CVE-2021-3148 - Possibile sostituzione del comando tramite una chiamata SaltAPI a salt.utils.thin.gen_thin().
- CVE-2020-35662 - Verifica del certificato SSL mancante nella configurazione predefinita.
- CVE-2021-3144 - Possibilità di utilizzare i token di autenticazione eauth dopo la loro scadenza.
- CVE-2020-28972 - Il codice non ha verificato il certificato SSL/TLS del server, che consentiva attacchi MITM.
Fonte: opennet.ru