1. 通告信息
2. 漏洞概述
SaltStack管理工具允许管理员对多个操作系统创建一个一致的管理系统,包括VMware vSphere环境。
CVE-2021-3197
Salt-API的SSH客户端容易受到Shell注入的攻击,方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。
CVE-2021-25281
salt-api未校验wheel_async客户端的eauth凭据,受此漏洞影响攻击者可远程调用master上任意wheel模块。
CVE-2021-25282
salt.wheel.pillar_roots.write方法存在目录穿越漏洞。
CVE-2021-25283
内置Jinja渲染引擎存在SSTI(Server Side Template Injection,服务端模板注入)漏洞。
CVE-2021-25284
webutils将明文密码写入/var/log/salt/minion。Salt的默认配置中不存在此问题。
CVE-2021-3148
salt.utils.thin.gen_thin()中存在命令注入。通过SaltAPI,从格式化的字符串构造命令,如果extra_mods中有单引号,则可以将命令截断,因为json.dumps()会转义双引号,同时保持单引号不变。
CVE-2020-35662
默认情况下,Salt存在不验证SSL证书的几个地方。
CVE-2021-3144
eauth令牌在过期后仍可以使用一次。
CVE-2020-28972
缺少对SSL证书的验证,代码库无法验证服务器的SSL/TLS证书,这可能使攻击者可以通过中间人攻击获取敏感信息。
CVE-2020-28243
Minion中的本地特权升级,当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时,SaltStack的Minion可以进行特权升级。
3. 漏洞危害
攻击者利用这些漏洞可能造成远程代码执行,直接接管服务器权限。
4. 影响版本
漏洞影响的版本包括:
Saltstack 3002.2之前的所有版本
5. 解决方案
1. 安识科技建议将SaltStack升级到3002.5、3001.6 和 3000.8及以上的安全版本、或下载Saltstack的最新官方补丁。
官方下载地址:https://repo.saltstack.com
2.其他临时缓解方案请参照官方通告:
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25
6. 时间轴
【-】2021年2月26日 SaltStack 官方发布安全公告
【-】2021年2月26日 安识科技A-Team团队根据官网公告分析
【-】2021年2月26日 安识科技A-Team团队发布安全通告
本文作者:安识科技
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/154294.html