本帖最后由 腾讯电脑管家 于 2020-11-5 12:59 编辑
漏洞描述:
SaltStack官方于11月3日发布Salt安全更新,以解决三个关键漏洞。未授权的远程攻击者通过发送特制的请求包 ,可造成任意命令执行。
SaltStack是基于Python的开源软件,用于事件驱动的IT自动化,远程任务执行和配置管理。支持数据中心系统和网络部署和管理、配置自动化、SecOps编排、漏洞修复和混合云控制的“基础架构即代码(IaC)”方法。
漏洞编号:CVE-2020-16846 CVE-2020-17490 CVE-2020-25592
漏洞等级:严重
漏洞详情:CVE-2020-16846: 命令注入漏洞,该漏洞风险严重
未经身份验证的攻击者可以通过发送特制请求包,通过Salt API注入 SSH连接命令,导致命令执行。
建议安装漏洞修复程序并重启Salt-API。
CVE-2020-17490: 逻辑漏洞,该漏洞的风险为低
Salt tls执行模块中函数 create_ca,create_csr 和 create_self_signed_cert 中存在逻辑漏洞,不能确保密钥使用正确的权限创建。解决方案是禁止使用tls执行模块创建可读的私钥。
本地攻击者通过以低权限用户登录 salt 主机,可以从当前 salt 程序主机上读取到密钥内容,从而导致信息泄漏。
CVE-2020-25592: 验证绕过漏洞,该漏洞的风险严重
Salt 在验证 eauth 凭据和访问控制列表 ACL 时存在一处验证绕过漏洞,Salt-netapi不正确地验证了eauth凭据和令牌。
未经过身份验证的远程攻击者通过发送特制的请求包,可以通过salt-api 绕过身份验证,并使用salt ssh连接目标服务器,该漏洞结合CVE-2020-16846可能造成命令执行。
受影响的版本:SaltStack2015/2016/2017/2018/2019/3000/3001/3002
漏洞修复建议:
漏洞复现验证:发送一个精心构造的的http请求,可以获取服务器权限。
腾讯安全产品方案:1、腾讯T-Sec主机安全(云镜)漏洞库日期2020-11-04之后的版本,已支持SaltStack多个高危漏洞进行检测。
2、腾讯T-Sec漏洞扫描服务漏洞特征库日期2020-11-04之后的版本,已支持检测全网资产是否存在SaltStack多个高危漏洞,并提醒用户修复。
3、腾讯T-Sec云防火墙规则库日期2020-11-04之后的版本,已支持对SaltStack多个高危漏洞的检测和拦截。
腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。
4、腾讯T-Sec高级威胁检测系统(御界)规则库日期2020-11-04之后的版本,已支持对SaltStack多个高危漏洞的攻击检测。
欢迎长按识别以下二维码,添加腾讯安全小助手,咨询了解更多腾讯安全产品信息。
时间线:2020年11月3日,SaltStack官方发布通告; 2020年11月4日,腾讯安全发布漏洞风险通告。腾讯安全旗下的T-Sec主机安全(云镜)、T-Sec漏洞扫描服务、T-Sec云防火墙、T-Sec高级威胁管理系统(御界)均已支持对该漏洞的检测或防御。
参考链接: | 
发表于 2020-11-5 11:58:13
