【漏洞情报】SaltStack 多个高危漏洞通告
1
漏洞信息
2月26日,云弈科技监测发现SaltStack发布了2月份安全更新的风险通告。
云弈科技建议广大用户及时将SaltStack升级到最新版本,并做好资产自查以及预防工作,以免遭受黑客攻击。
2
漏洞等级
高危
3
漏洞详情
CVE-2021-25281(高危)
SaltStack SaltAPI中存在一处代码执行漏洞。wheel_async模块未正确处理身份验证请求,导致攻击者利用该模块执行任意 python 代码。
CVE-2021-25282
SaltStack SaltAPI中存在一处代码执行漏洞。该漏洞主要是salt.wheel.pillar_roots.write函数在写入操作时存在目录穿越,与CVE-2021-25281、CVE-2021-25283结合实现代码执行。
CVE-2021-25283(高危)
SaltStack jinja模板渲染中存在一处代码执行漏洞。该漏洞主要是salt.wheel.pillar_roots.write函数在写入操作时,将存在恶意代码的模板文件写入特定位置,在请求相关页面时触发 jinja 引擎渲染导致代码执行与CVE-2021-25282结合实现代码执行。
CVE-2021-25284
webutils将明文密码写入/var/log/salt/minionSalt的默认配置中不存在此问题。
CVE-2021-3197 (命令注入)
在安装并开启 SSH 模块的SaltStack服务器存在一处命令注入漏洞。攻击者可以通过Salt-API 的 SSH功能接口使用 SSH 命令的ProxyCommand参数进行命令注入。
CVE-2021-3148
salt.utils.thin.gen_thin() 中存在命令注入。通过SaltAPI,从格式化的字符串构造命令,如果 extra_mods 中有单引号,则可以将命令截断,因为json.dumps() 会转义双引号,同时保持单引号不变。
CVE-2021-3144
eauth令牌在过期后仍可以使用一次。
4
影响版本
Saltstack 3002.2之前的所有版本
5
安全版本
SaltStack >= 3002.5
SaltStack >= 3001.6
SaltStack >= 3000.8
6
修复方案
https://repo.saltstack.com
2.如果没有用到wheel_async模块,可以在salt/netapi/__init__.py中将其api调用入口wheel_async函数删除,可临时缓解该漏洞。
3.其他临时缓解措施也可参照官方通告中的详细方案
7
云弈安全解决方案
“天视”资产风险监控系统已于第一时间更新插件,可以对以上漏洞进行检测。
"云戟"主机自适应安全平台已于第一时间对以上漏洞进行检测。
8
参考链接
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
北京云弈科技有限公司成立于2017年12月,2019年被评为国家高新技术企业。团队由数位资深的安全专家创办,专注于安全、加速、大数据等核心技术的研究与开发。
公司成立至今研发出:“弈盾”网站云防御平台、“天视”资产风险监控平台、“高防”DDoS云协防平台、“云戟”主机自适应安全平台、“堡垒机”统一运维审计平台五款产品和渗透测试、应急响应、等级保护等多项服务。
致力为各行业提供先进的网络安全解决方案,帮助客户提升风险发现、威胁监测及安全防护能力。全方位保护企业云上业务安全、捍卫国家网络安全。目前主要客户群体包括各省市网信部门、公检法司、工信部门、政企、报社、互联网、运营商、金融、教育、医疗、IDC、游戏等行业。