The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Опасные уязвимости в системе управления конфигурацией SaltStack

02.03.2021 15:50

В новых выпусках системы централизованного управления конфигурацией SaltStack 3002.5, 3001.6 и 3000.8 устранена уязвимость (CVE-2020-28243) позволяющая непривилегированному локальному пользователю хоста повысить свои привилегии в системе. Проблема вызвана ошибкой в обработчике salt-minion, применяемом для приёма команд с центрального сервера. Уязвимость была выявлена в ноябре, но исправлена только сейчас.

При выполнении операции "restartcheck" имеется возможность осуществить подстановку произвольных команд через манипуляции с именем процесса. В частности, запрос наличия пакета осуществлялся через запуск пакетного менеджера с передачей аргумента, полученного на основе имени процесса. Пакетный менеджер запускается через вызов функции popen в режиме запуска shell, но без экранирования спецсимволов. Изменив имя процесса и используя символы подобные ";" и "|" можно организовать выполнение своего кода.

Кроме отмеченной проблемы в SaltStack 3002.5 устранено ещё 9 уязвимостей:

  • CVE-2021-25281 - из-за отсутствия должной проверки полномочий удалённый атакующий может через обращение к SaltAPI запустить любой wheel-модуль на стороне управляющего master-сервера и скомпрометировать всю инфраструктуру.
  • CVE-2021-3197 - проблема в SSH-модуле к minion, позволяющая выполнить произвольные shell-команды через подстановку аргумента с настройкой "ProxyCommand" или передачу ssh_options через API.
  • CVE-2021-25282 - неавторизированный доступ к wheel_async позволяет через обращение к SaltAPI переписать файл за пределами базового каталога и выполнить произвольный код в системе.
  • CVE-2021-25283 - выход за пределы базового каталога в обработчике wheel.pillar_roots.write в SaltAPI позволяет добавить произвольный шаблон к jinja renderer.
  • CVE-2021-25284 - задаваемые через webutils пароли оседали в открытом виде в логе /var/log/salt/minion .
  • CVE-2021-3148 - возможность подстановки команд через SaltAPI вызов salt.utils.thin.gen_thin().
  • CVE-2020-35662 - отсутствие проверки SSL-сертификата в конфигурации по умолчанию.
  • CVE-2021-3144 - возможность использования токенов аутентификации eauth после истечения времени их действия.
  • CVE-2020-28972 - в коде не проверялся SSL/TLS-сертификат сервера, что позволяло совершить MITM-атаки.


  1. Главная ссылка к новости (https://sec.stealthcopter.com/...)
  2. OpenNews: Взлом серверов компании Cisco, обслуживающих инфраструктуру VIRL-PE
  3. OpenNews: Взлом инфраструктуры LineageOS через уязвимость в SaltStack
  4. OpenNews: Форум проекта openSUSE подвергся взлому (дополнено)
  5. OpenNews: Выпуск системы управления конфигурацией Ansible 2.2
  6. OpenNews: Выпуск ZeroNet 0.7, платформы для создания децентрализованных сайтов
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54685-salt
Ключевые слова: salt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (34) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 15:58, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Кажется Salt переплюнут proftpd по наплевательскому отношению к безопасности. Это же надо в стольких местах забыть проверить ".."  и ";" перед выполнением команд и заявить о шифровании коммуникаций, но не проверять сертификат.
     
     
  • 2.4, Аноним (-), 16:14, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Может они пытаются новый вид уязвимости открыть.. фузингом CVE
     
     
  • 3.32, Аноним (32), 22:50, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Уязвимость в каталогах CVE? Неожиданный тип уязвимости - вулносайтокапец!
     
  • 2.16, пох. (?), 17:38, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Знаешь, там все увизьгвимости последних лет - из серии "ну теперь тебе точно п-ц" и "они - уху ели!"

    У тебя пользователи (!) на автоматически управляемой (!) системе могут подменять управляемые тобой процессы (не абы какие, а именно salt'ом рестартимые), и в этом - увизьгвимость?

    Ты пользователю доверил salt'ом исполнять команды на куче серверов, и теперь боишься двоеточий?

    Или пресловутые "mitm-атаки" - у тебя В СЕТИ mitm! Какой, н$!#, уже salt ?! Тебе П-Ц!
    Это даже покруче чече...простите, чешского оператора, ворующего траффик клиентов (уворовать еще ладно, для mitm нужна возможность инжектить). Вы зачем вообще в такую сеть без химзащиты выходите?!
    Одно дело просто пошифровать управление чтоб такие вот чеч...хи не подглядывали "чисто случайно, сеть отлаживали", но всерьез бороться с всерьез вздумавшим тебя ломануть провайдером? Да БЕГИТЕ нахер оттуда, пока в рабство не продали, тут хоть сорок презервативов на себя надень, не поможет.

     
     
  • 3.21, pistrello (?), 18:39, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чё?
     
     
  • 4.33, Аноним (32), 22:51, 03/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это пох, видный эксперт по безопасТности. Видишь, у него безопасТность нагибается от MITM в сети.
     
  • 3.23, Аноним (23), 19:46, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ну как то у них не работали их же пакеты, Карл. То есть никто даже не проверял а работает ли то что собралось в принципе.
    А когда то и вовсе не запускался под определённой версией бубунты (не косяк солта, но его зависимостей и косяк бубунты) и ничего с этим сделать не могли что то около полугода. Это простительно для домашнего проекта, но для софта претендующего на ядро энтерпрайза это просто смешно.
     
     
  • 4.25, пох. (?), 20:03, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > А когда то и вовсе не запускался под определённой версией бубунты (не косяк солта, но его
    > зависимостей и косяк бубунты) и ничего с этим сделать не могли что то около полугода.

    ну так кто же должен исправлять косяки убунты? Авторы менеджера конфигураций? Хм... а точно не убунтиные майнтейнеры? Да нет, зачем же...

    В убунте что-то около года установка docker swarm роняла docker build. Из-за притаскивания зависимости третьего порядка, что характерно - нахрен ненужной ни сварму, ни докеру. Но удалить ее нельзя, required - то есть можно но apt после этого работать не будет. Ну и что? Они всегда так живут.

    > Это простительно для домашнего проекта, но для софта претендующего на ядро энтерпрайза

    что-то мне подсказывает, что он претендовал на ядро ентерпрайза, но построенного исключительно на технологиях novell, ныне покойной.
    Во всех остальных случаях его после сборки надо доработать очень крупным напильником.

    К сожалению, никакой другой готовой технологии без необходимости складывания в кучку ключей от всего, современная смузи-разработка так и не породила. А salt толком не поддерживается и разработчики давно уже неведомо куда разбрелись (то что осталось - тоже только смузи лакать способно)


     

  • 1.2, Аноним (2), 16:03, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    В этом Salt ещё 100500 багов. Можно случайно убить систему. Или целый VmWare-кластер. Разработчики не реагируют на баг-репорты. А через 3-6 месяцев репорты закрывают.
     
     
  • 2.17, пох. (?), 17:41, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Может у тебя багрепорты были уровня "отправил rm -rf / на весь кластер, он почему-то сдох!" ?

    Логично, в общем-то... для того и брали.

    В общем, багрепорт как безобидной командой ты уронил vmware кластер (нахера кстати вмвари салт, кто бы пояснил?) в студию.

     

  • 1.3, Аноним (3), 16:12, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Настоящий серьезный бизнес, не какой-нибудь там опенсоурс.
     
     
  • 2.5, Аноним (-), 16:15, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > https://github.com/saltstack/salt/pulls

    та вы посмотрите на эту помойку. какая нафиг безопасность ???

     
     
  • 3.27, Последний из могикан (?), 21:27, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мсье не понимает сарказма?
     

  • 1.6, Аноним (6), 16:18, 02/03/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –3 +/
     
  • 1.7, Аноним (7), 16:41, 02/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А есть альтернативы? Puppet, chef безнадежно устарели, у ansible архитектура неудачная, для большого количества серверов не особо годен, да и по функционалу сильно от salt отстаёт
     
     
  • 2.8, Сейд (ok), 16:43, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А чем безнадёжно устарел Puppet?
     
     
  • 3.9, Аноним (9), 16:50, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Тем, что удобный, простой и работает. Неужели не понятно?
     
     
  • 4.11, Аноним (7), 16:57, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так то и bash тоже удобный, простой и работает
     
     
  • 5.28, Ононимус (?), 22:26, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так он и не устарел)
     
     
  • 6.29, Аноним (7), 22:33, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Для управления конфигурациями bash является устаревшим изначально. Поэтому всякие chef и придумали
     
  • 4.31, Псевдоним (??), 23:58, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ничерта паппет не простой и не шибко удобный. Но работает, этого не отнять.
     
  • 3.10, Аноним (7), 16:56, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Долго расписывать, думал все это знают, но если вкратце, то всем. Ансибл как раз и появился потому что проще переписать было
     
  • 3.13, Псевдоним (??), 16:59, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Переусложнен, ruby, в целом за счёт легаси и архитектуры негаомоничен: оркестрировать предлагается отдельными инструментами, push стратегия тоже реализуется через них. Можно обмазаться паппетом и джедайски пилить нужные модули (и править существующие), а в свободное время думать об архитектуре уже манифестов, но это уже нужен неплохой специалист, которого тяжело будет заменить и даже пошарить его знания с коллегами будет проблематично (руби то далеко не все знают даже в москае, а кто знает - не знает паппет, немногие кто хорошо знает паппет с большой вероятностью уже пригрет в одной из компаний, больших перспектив в этом не видно, так что и желающих вырастать в паппет специалистов не много)
     
     
  • 4.14, Псевдоним (??), 17:00, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну и в конфигурацию сетевых железок не умеет
     
  • 2.12, Ted (?), 16:57, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Для сетевых коробок использую nornir
     
     
  • 3.24, пох. (?), 19:54, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    То есть тебе не лень было учить его бредовый и толком недокументированный фреймворк (при наличии знаний и умений в собственно впихон) ради... чего, собственно? "декларативного управления сетевыми железками"? (прежде чем что-то подекларировать - изволь это написать на впихоне)

    Я могу понять пользующихся отсосиблем, это стильно, модно, молодежно, топ-менеджеры одобряют, премию выпишут, и в резюм полезная строчка, а ты такой только готовые плейбуки ctrl-c/ctrl-v. И пароли от всего лежат кучкой, удобно, если чо, все свалить на злобных-презлобных хакеров.

    Но ЭТО-то недоразумение - нахрена?

     
  • 3.26, нона (?), 21:25, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Он же ничего не умеет.
     
     
  • 4.30, пох. (?), 22:48, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот сейчас кодерам на пихоне обидно было!

     
  • 2.15, Аноним (15), 17:04, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Я смотрю у девопсов и сисадминов цирк с конями покруче чем у фронтендеров. Такое же стремительное "развитие" технологий.
     
     
  • 3.18, пох. (?), 17:46, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Понимаешь ли, автоматическое обновление конфигураций по всем серверам чохом мы придумали за десять лет до изобретения этих модных девляпсовых игрушек.

    Но оно было соврешенно небезопастное, представь себе. Потому что нам ну не приходило в голову героически защищаться от mitm в собственной сети, или от двоеточий. Если бы мне пришло в голову что-то "хакнуть", я бы на нужную машину рутовым ssh просто зашел (кстати, автоматика потом бы замела за мной все следы). Боюсь представить, кому же это в голову таки приходит.

     
     
  • 4.22, Аноним (22), 19:29, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В кои-то веки так сильно согласен с похом!
     
  • 2.20, _ (??), 18:22, 02/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Nix
     
     
  • 3.34, _ (??), 06:33, 04/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    You are fake!(C)
     
  • 2.35, anoneem (?), 22:49, 05/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    т.е. у солта архитектура по вашему удачная? Ох... у меня про нее столько багов заведено, да им и пофиг на самом деле. Приходится приватный форк держать чтобы хоть как-то жто творение на скейле фурычило
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру