漏洞描述
SaltStack是基于Python开发的一套C/S架构配置管理工具。2021年2月26日,SaltStack官方发布安全更新,修复了多个高危漏洞,其中:
CVE-2021-25281:
salt-api未校验wheel_async客户端的eauth凭据,受此漏洞影响攻击者可远程调用master上任意wheel模块。
CVE-2021-25282:
salt.wheel.pillar_roots.write 方法存在目录穿越漏洞。
CVE-2021-25283:
内置Jinja渲染引擎存在SSTI(Server Side Template Injection,服务端模板注入)漏洞。
CVE-2021-25284:
webutils将明文密码写入/var/log/salt/minionSalt的默认配置中不存在此问题。
CVE-2021-3197:
Salt-API的SSH客户端容易受到Shell注入的攻击,方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。
CVE-2021-3148:
salt.utils.thin.gen_thin() 中存在命令注入。通过SaltAPI,从格式化的字符串构造命令,如果 extra_mods 中有单引号,则可以将命令截断,因为json.dumps() 会转义双引号,同时保持单引号不变。
CVE-2020-35662:
默认情况下,Salt存在不验证SSL证书的几个地方。
CVE-2021-3144:
eauth令牌在过期后仍可以使用一次。
CVE-2020-28972:
缺少对SSL证书的验证,代码库无法验证服务器的SSL/TLS证书,这可能使攻击者可以通过中间人攻击获取敏感信息。
CVE-2020-28243:
Minion中的本地特权提升漏洞,当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时,SaltStack的Minion可以进行特权升级。
安全建议
1. 升级至安全版本及其以上,升级前建议做好快照备份措施。安全版本下载地址参考:https://repo.saltstack.com
2. 设置SaltStack为自动更新,及时获取相应补丁。
影响版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
安全版本
SaltStack >= 3002.5
SaltStack >= 3001.6
SaltStack >= 3000.8
相关链接
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/