尊龙凯时

首页 > 清静研究 > 清静转达 > 清静通告

SaltStack 2月多个高危误差

宣布时间 2021-02-26

0x00 误差概述

SaltStack是Python编写的一套开源的C/S自动化运维工具，可轻松治理成千上万台服务器�？梢越玈altStack看做是func的增强版+Puppet的弱化版，利便易用，并且它可以基于EPEL安排。

0x01 误差详情

2021年02月25日，Salt Project宣布清静更新，修复了SaltStack中的10个清静误差，其中有7个误差评级为高危，3个评级为中危。

本次修复的误差如下：

CVE ID	评分	误差详情	修复要领
CVE-2021-3144	7.4	Eauth tokens在逾期后可以使用一次。	若是tokens逾期，则要领返回空字典。
CVE-2021-3148	6.8	salt.utils.thin.gen_thin（）中保存下令注入误差。通过SaltAPI，从名堂化的字符串结构下令，若是extra_mods中有单引号，则可以将下令截断，由于json.dumps（）会转义双引号，同时坚持单引号稳固。	删除thin utils中的shell用法。
CVE-2021-3197	7.0	Salt-API的SSH客户端容易受到通过在参数中包括ProxyCommand或通过API请求中提供ssh_options的Shell注入攻击。	从CLI或netapi转达的参数中过滤出ProxyCommand。
CVE-2021-25281	8.1	SaltAPI未验证wheel_async客户端的eauth凭证。攻击者可远程挪用master上恣意wheel�？�。	wheel_async使用（强制）eauth凭证。
CVE-2021-25282	5.1	salt.wheel.pillar_roots.write要领保存目录遍历误差，通过salt-api举行的未授权wheel_async会见可以执行恣意下令。	修复wheel.pillar_roots.write中的目录遍历误差。
CVE-2021-25283	8.1	内置Jinja渲染引擎保存SSTI（Server Side Template Injection，服务端模板注入）误差。	默认启用Jinja渲染器清静模式。
CVE-2021-25284	4.1	Webutils以明文形式将密码写入/var/log/salt/minion。Salt的默认设置中不保存此问题。	cmdmod将仅纪录下令名称，而不纪录完整下令。
CVE-2020-28243	7.0	Minion中保存外地权限升级，当通俗用户能够通过历程名称中的下令注入而能够在任何未列入黑名单的目录中建设文件时，SaltStack的Minion可以举行权限升级。	删除restarcheck�？橹械膕hell用法。
CVE-2020-28972	7.4	由于缺少对SSL证书的验证，代码库无法验证服务器的SSL/TLS证书，这可能使攻击者可以通过中心人攻击获取敏感信息。	默认情形下，默认的VMware�？榭梢匝橹SL。
CVE-2020-35662	7.4	默认情形下，Salt不验证SSL证书的几个地方。	SSL证书将默认验证。

影响规模

Saltstack < 3002.2

可以通过以下几种方法验证Salt的装置版本：

rpm -qi salt

dpkg-query -l salt\*

yum list installed salt\*

salt --versions-report

salt-call --local test.versions_report

0x02 处置惩罚建议

现在相关误差已经修复，建议实时升级至如下版本：

SaltStack >= 3002.5

SaltStack >= 3001.6

SaltStack >= 3000.8

下载链接：

https://repo.saltproject.io/

或者选择装置Saltstack响应版本的最新补丁文件，链接如下：

https://gitlab.com/saltstack/open/salt-patches

缓解步伐

若是未使用wheel_async�？�，可以在 salt/netapi/__init__.py 中将其api挪用入口wheel_async函数删除。

0x03 参考链接

https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/

https://help.saltstack.com/hc/en-us/articles/360042888971-Upgrading-Your-Salt-Infrastructure

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25281

0x04 时间线

2021-02-25 Salt Project宣布更新通告

2021-02-26 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号