У нових випусках системи централізованого управління конфігурацією SaltStack 3002.5, 3001.6 і 3000.8 усунуто вразливість (CVE-2020-28243), що дозволяє непривілейованому локальному користувачеві хоста підвищити свої привілеї в системі. Проблема викликана помилкою в обробнику salt-minion, що застосовується для прийому команд із центрального сервера. Вразливість було виявлено у листопаді, але виправлено лише зараз.
При виконанні операції «restartcheck» можна здійснити підстановку довільних команд через маніпуляції з ім'ям процесу. Зокрема запит наявності пакета здійснювався через запуск пакетного менеджера з передачею аргументу, отриманого на основі імені процесу. Пакетний менеджер запускається через виклик функції popen у режимі запуску shell, але без екранування спецсимволів. Змінивши ім'я процесу і використовуючи подібні символи «;» та «|» можна організувати виконання коду.
Окрім зазначеної проблеми у SaltStack 3002.5 усунуто ще 9 уразливостей:
- CVE-2021-25281 – через відсутність належної перевірки повноважень віддалений атакуючий може через звернення до SaltAPI запустити будь-який wheel-модуль на стороні керуючого master-сервера та скомпрометувати всю інфраструктуру.
- CVE-2021-3197 - проблема в SSH-модулі до minion, що дозволяє виконати довільні shell-команди через підстановку аргументу з налаштуванням ProxyCommand або передачу ssh_options через API.
- CVE-2021-25282 - неавторизований доступ до wheel_async дозволяє через звернення до SaltAPI переписати файл за межами базового каталогу та виконати довільний код у системі.
- CVE-2021-25283 — вихід за межі базового каталогу в обробнику wheel.pillar_roots.write SaltAPI дозволяє додати довільний шаблон до jinja renderer.
- CVE-2021-25284 — паролі, що задаються через webutils, осідали у відкритому вигляді в лозі /var/log/salt/minion .
- CVE-2021-3148 – можливість підстановки команд через SaltAPI виклик salt.utils.thin.gen_thin().
- CVE-2020-35662 – відсутність перевірки SSL-сертифіката у конфігурації за замовчуванням.
- CVE-2021-3144 - можливість використання токенів аутентифікації eauth після закінчення часу їхньої дії.
- CVE-2020-28972 - у коді не перевірявся SSL/TLS-сертифікат сервера, що дозволяло здійснити MITM-атаки.
Джерело: opennet.ru