关于我们

质量为本、客户为根、勇于拼搏、务实创新

< 返回新闻公共列表

SaltStack 存在多个高危漏洞风险告警

发布时间:2021-03-01 17:09:19

发布时间 2021-02-28

更新时间 2021-02-28

漏洞等级 HighCVE

编号 CVE-2021-25281、CVE-2021-25282、CVE-2021-25283

漏洞详情

CVE-2021-25281(高危):

salt-api未校验wheel_async客户端的eauth凭据,受此漏洞影响攻击者可远程调用master上任意wheel模块。

CVE-2021-25282:

salt.wheel.pillar_roots.write方法存在目录穿越漏洞。

CVE-2021-25283(高危):

内置Jinja渲染引擎存在SSTI(Server Side Template Injection,服务端模板注入)漏洞。

CVE-2021-25284:

webutils将明文密码写入/var/log/salt/minion。Salt的默认配置中不存在此问题。

CVE-2021-3197:

Salt-API的SSH客户端容易受到Shell注入的攻击,方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。

CVE-2021-3148:

salt.utils.thin.gen_thin()中存在命令注入。通过SaltAPI,从格式化的字符串构造命令,如果extra_mods中有单引号,则可以将命令截断,因为json.dumps()会转义双引号,同时保持单引号不变。

CVE-2020-35662:

默认情况下,Salt存在不验证SSL证书的几个地方。

CVE-2021-3144:

eauth令牌在过期后仍可以使用一次

CVE-2020-28972:

缺少对SSL证书的验证,代码库无法验证服务器的SSL/TLS证书,这可能使攻击者可以通过中间人攻击获取敏感信息

CVE-2020-28243:

Minion中的本地特权升级,当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时,SaltStack的Minion可以进行特权升级。
 

影响范围

SaltStack < 3002.5
       SaltStack < 3001.6
       SaltStack < 3000.8

修复方案

1、将SaltStack升级到3002.5, 3001.6 和 3000.8及以上的安全版本,或升级到Saltstack的最新官方补丁,官方下载地址:https://repo.saltstack.com
       2、如果没有用到wheel_async模块,可以在 salt/netapi/__init__.py 中将其api调用入口wheel_async函数删除,可临时缓解该漏洞。
       3、禁止Salt Master监听端口(默认4505 和 4506)和Salt-api端口(默认8000)对公网开放或只允许可信IP访问。
 

参考链接

1. https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/




/template/Home/Zkeys/PC/Static