В SaltStack Salt обнаружены критические уязвимости
Уязвимости исправлены в версии фреймворка 3000.2.
В фреймворке с открытым исходным кодом SaltStack Salt обнаружены две уязвимости , позволяющие злоумышленникам выполнять произвольный код на удаленных серверах в дата-центрах и облачных средах. Уязвимости были обнаружены специалистами компании F-Secure в марте нынешнего года и раскрыты на этой неделе, через день после выхода исправления (версии фреймворка 3000.2).
Проблемы получили идентификаторы CVE-2020-11651 и CVE-2020-11652 и максимальные 10 баллов по системе оценивания опасности уязвимостей CVSS. Первая представляет собой уязвимость обхода аутентификации, связанную с непреднамеренным раскрытием функционала неавторизованным сетевым клиентам. Вторая является уязвимостью обхода каталога, существующей из-за недостаточной проверки недоверенных входных данных (параметров в сетевых запросах). Проблема позволяет получить доступ ко всей файловой системе сервера.
SaltStack Salt – мощный движок для автоматизации и удаленного выполнения, позволяющий пользователям запускать команды непосредственно на множестве машин. Утилита предназначена для мониторинга и обновления серверов и автоматизирует процесс отправки обновлений ПО и конфигураций из центрального репозитория с помощью «мастер-узла», массово развертывающего изменения на целевых серверах.
Связь между «мастер-узлом» и серверами осуществляется с помощью шины ZeroMQ. Вдобавок «мастер-узел» использует два канала ZeroMQ – «сервер запросов», которому серверы отправляют отчеты о выполнении, и «сервер публикаций», где «мастер-узел» публикует сообщения для серверов.
Как пояснили специалисты из F-Secure, уязвимости затрагивают используемый в SaltStack Salt протокол ZeroMQ. С их помощью злоумышленник с доступом к «серверу запросов» может обойти аутентификацию и авторизацию и публиковать произвольные сообщения, читать и записывать файлы в файловой системе «мастер-узла» и похищать ключи для аутентификации на «мастер-узле» в качестве суперпользователя. В результате злоумышленник может удаленно выполнять команды с привилегиями суперпользователя на «мастер-узле» и всех подключенных к нему серверах.