速修复!开源 IT 基础设施管理解决方案 Salt 被曝多个严重漏洞
VMware 旗下公司 SaltStack 披露了影响 Salt 版本 3002 及之前版本的多个严重漏洞,并在今天推出补丁。
Salt 是一款开源的 IT 基础设施管理解决方案,用 Python 编写,广泛应用于全球的数据中心。
建议用户立即修复 Salt 实例。
今天披露的三个严重漏洞如下:
(1) CVE-2020-16846(高危/严重)
该漏洞是“shell 注入漏洞“。当调用 SaltStack SSH 客户端上的 “subprocess.call” 时删除 “shell=True” 选项修复。
Python 模块 subprocess 可使用户在系统上生成新进程。众所周知,用外部用户输入构造的 command 和 “shell=True” 选项调用该选项存在安全风险。
(第49行删除 “shell=True” 选项,阻止shell 注入攻击)
如上所示,Salt 项目发布的修复方案表示,”停止通过 shell=True 调用 Popen,阻止 netapi salt-ssh 客户端上的shell 注入攻击。
(2) CVE-2020-25592(高危/严重)
该漏洞是认证绕过漏洞。然而它的修复方案却是指向神秘的 CVE-2020-16804,“正确验证 eauth 凭据和令牌及其 ACL。在此之前,eauth 在通过 salt-api 调用 Salt ssh 时并未正确验证。‘eauth’ 或 ‘token’ 的任何值都将允许用户绕过认证并向 Salt ssh 做出调用“。
Salt 项目的开发人员提供的测试案例证实,在已修复版本中,恶意 eauth 数据应该会导致 Salt 应用抛出异常,而非传递认证检查。
(3) CVE-2020-17490(低危)
该漏洞是权限问题,而非打开/保存加密私钥文件时的访问模式问题。
Salt 发布公告称,“该 CVE 影响此前使用了 TLS 模块中的 create_ca、create_csr 和 create_self_signed_cert 函数的任何 Minions 或 Masters。当使用这些函数时,无法确保该密钥是通过正确的权限创建的。修复后,这些密钥不再通过全局可读的权限和使用600创建。”当打开 SSH 密钥时,以 “os.O_RDWR”(读写)标记替换 “os.O_WRONLY”(只读)标记修复了该漏洞。
虽然这些漏洞是今天披露的,但值得注意的是这三个漏洞的修复方案早在之前就披露给 GitHub。
例如,CVE-2020-16848 的修复方案早在8月18日就推送到了 GitHub,而 Salt 客户端shell 注入的测试案例也提到了多个 ZDI 的编号,如 ZDI-CAN-11143。原始报告的日期是2020年6月。
11月3日发布的安全公告确实致谢 ZDI KPC发现 CVE-2020-16846 和 CVE-2020-17490,而研究员早在6月份就报告了多个 ZDI 漏洞。
目前尚不清楚 SaltStack 为何在公开披露漏洞前就已将 CVE 漏洞编号和修复方案发布到 GitHub 上,因为这样做可能被威胁行动者用于创建 exploit。
目前,Shodan 列出了被暴露到互联网上的 6000 多个 Salt Master 节点,并非所有的节点都运行已修复的最新版本。
10月30日,SaltStack 发布安全公告称,这些 CVE 将会在美国总统大选日发布。鉴于今年年初,易受攻击记得 Salt 实例遭受大规模攻击,因此提前部分披露的行为是SaltStack 做出的谨慎动作。
安全公告指出,“从 CVSS 评分来看,其中两个漏洞应该是高危/严重级别,另外一个是低危漏洞。SaltStack 发现这些漏洞后,快速采取修复措施。”
部分披露正成为开源软件的常态。
提前告知可赶在攻击者实施利用之前修复易受攻击的实例。
已修复的版本包括3002.1、3001.3 和 3000.5。SaltStack 公司还为老旧版本提供了补丁,如2019.x。
另外,该公司还提供了其它有助于加固 Salt 实例安全的措施。
然而,尽管已提前告知,但选择在大选之日公开严重漏洞的做法仍有待商榷,尤其是考虑到已修复版本也在今天发布,和完全披露日期一样的情况。
目前,用户可从 PyPI 下载区 (https://pypi.org/project/salt/#history) 下载已修复版本。更多详情可参加今天发布的安全公告。
Repo Jacking:依赖关系仓库劫持漏洞,影响谷歌GitHub等7万多个开源项目的供应链
FBI紧急警告:黑客利用开源SonarQube实例窃取政府和企业源代码
https://www.bleepingcomputer.com/news/security/saltstack-reveals-new-critical-vulnerabilities-patch-now/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。