As novas versões do sistema de gerenciamento de configuração centralizado SaltStack 3002.5, 3001.6 e 3000.8 corrigiram uma vulnerabilidade (CVE-2020-28243) que permite que um usuário local sem privilégios do host aumente seus privilégios no sistema. O problema é causado por um bug no manipulador salt-minion usado para receber comandos do servidor central. A vulnerabilidade foi descoberta em novembro, mas só agora foi corrigida.
Ao realizar a operação “restartcheck”, é possível substituir comandos arbitrários através da manipulação do nome do processo. Em particular, a solicitação da presença de um pacote foi realizada lançando o gerenciador de pacotes e passando um argumento derivado do nome do processo. O gerenciador de pacotes é iniciado chamando a função popen no modo de inicialização do shell, mas sem escapar de caracteres especiais. Alterando o nome do processo e usando símbolos como ";" e "|" você pode organizar a execução do seu código.
Além do problema observado, o SaltStack 3002.5 corrigiu mais 9 vulnerabilidades:
- CVE-2021-25281 – devido à falta de verificação de autoridade adequada, um invasor remoto pode lançar qualquer módulo de roda na lateral do servidor mestre de controle acessando SaltAPI e comprometer toda a infraestrutura.
- CVE-2021-3197 é um problema no módulo SSH para minion que permite que comandos shell arbitrários sejam executados por meio de substituição de argumento com a configuração “ProxyCommand” ou passagem de ssh_options por meio da API.
- CVE-2021-25282 O acesso não autorizado a wheel_async permite que uma chamada ao SaltAPI substitua um arquivo fora do diretório base e execute código arbitrário no sistema.
- CVE-2021-25283 Uma vulnerabilidade fora dos limites do diretório base no manipulador wheel.pillar_roots.write no SaltAPI permite que um modelo arbitrário seja adicionado ao renderizador jinja.
- CVE-2021-25284 – as senhas definidas via webutils foram depositadas em texto não criptografado no log /var/log/salt/minion.
- CVE-2021-3148 – Possível substituição de comando por meio de uma chamada SaltAPI para salt.utils.thin.gen_thin().
- CVE-2020-35662 – Verificação de certificado SSL ausente na configuração padrão.
- CVE-2021-3144 - Possibilidade de utilização de tokens de autenticação eauth após expirarem.
- CVE-2020-28972 – O código não verificou o certificado SSL/TLS do servidor, o que permitiu ataques MITM.
Fonte: opennet.ru