SaltStack 2月多个高危漏洞
发布时间 2021-02-260x00 漏洞概述
SaltStack是Python编写的一套开源的C/S自动化运维工具,可轻松管理成千上万台服务器。可以将SaltStack看做是func的增强版+Puppet的弱化版,方便易用,并且它可以基于EPEL部署。
0x01 漏洞详情
2021年02月25日,Salt Project发布安全更新,修复了SaltStack中的10个安全漏洞,其中有7个漏洞评级为高危,3个评级为中危。
本次修复的漏洞如下:
CVE ID | 评分 | 漏洞详情 | 修复方法 |
CVE-2021-3144 | 7.4 | Eauth tokens在过期后可以使用一次。 | 如果tokens过期,则方法返回空字典。 |
CVE-2021-3148 | 6.8 | salt.utils.thin.gen_thin()中存在命令注入漏洞。通过SaltAPI,从格式化的字符串构造命令,如果extra_mods中有单引号,则可以将命令截断,因为json.dumps()会转义双引号,同时保持单引号不变。 | 删除thin utils中的shell用法。 |
CVE-2021-3197 | 7.0 | Salt-API的SSH客户端容易受到通过在参数中包含ProxyCommand或通过API请求中提供ssh_options的Shell注入攻击。 | 从CLI或netapi传递的参数中过滤出ProxyCommand。 |
CVE-2021-25281 | 8.1 | SaltAPI未验证wheel_async客户端的eauth凭据。攻击者可远程调用master上任意wheel模块。 | wheel_async使用(强制)eauth凭据。 |
CVE-2021-25282 | 5.1 | salt.wheel.pillar_roots.write方法存在目录遍历漏洞,通过salt-api进行的未授权wheel_async访问可以执行任意命令。 | 修复wheel.pillar_roots.write中的目录遍历漏洞。 |
CVE-2021-25283 | 8.1 | 内置Jinja渲染引擎存在SSTI(Server Side Template Injection,服务端模板注入)漏洞。 | 默认启用Jinja渲染器安全模式。 |
CVE-2021-25284 | 4.1 | Webutils以明文形式将密码写入/var/log/salt/minion。Salt的默认配置中不存在此问题。 | cmdmod将仅记录命令名称,而不记录完整命令。 |
CVE-2020-28243 | 7.0 | Minion中存在本地权限升级,当普通用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时,SaltStack的Minion可以进行权限升级。 | 删除restarcheck模块中的shell用法。 |
CVE-2020-28972 | 7.4 | 由于缺少对SSL证书的验证,代码库无法验证服务器的SSL/TLS证书,这可能使攻击者可以通过中间人攻击获取敏感信息。 | 默认情况下,默认的VMware模块可以验证SSL。 |
CVE-2020-35662 | 7.4 | 默认情况下,Salt不验证SSL证书的几个地方。 | SSL证书将默认验证。 |
影响范围
Saltstack < 3002.2
可以通过以下几种方式验证Salt的安装版本:
rpm -qi salt
dpkg-query -l salt\*
yum list installed salt\*
salt --versions-report
salt-call --local test.versions_report
0x02 处置建议
目前相关漏洞已经修复,建议及时升级至如下版本:
SaltStack >= 3002.5
SaltStack >= 3001.6
SaltStack >= 3000.8
下载链接:
https://repo.saltproject.io/
或者选择安装Saltstack相应版本的最新补丁文件,链接如下:
https://gitlab.com/saltstack/open/salt-patches
缓解措施
如果未使用wheel_async模块,可以在 salt/netapi/__init__.py 中将其api调用入口wheel_async函数删除。
0x03 参考链接
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
https://help.saltstack.com/hc/en-us/articles/360042888971-Upgrading-Your-Salt-Infrastructure
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25281
0x04 时间线
2021-02-25 Salt Project发布更新公告
2021-02-26 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/