Alert!

SaltStack: Security-Packages beseitigen drei teils kritische Sicherheitslücken

Für viele SaltStack-Versionen stehen Aktualisierungen bereit; die Entwickler raten angesichts der von drei Lücken ausgehenden Gefahren zum zeitnahen Update.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 3 Beiträge

(Bild: Artur Szczybylo/Shutterstock.com)

Von
  • Olivia von Westernhagen

Die Entwickler von SaltStack, einer Open-Source-Software zur automatisierten Serversystem-Konfiguration, haben Security-Packages und Patches für mehrere Versionen veröffentlicht. Die Fixes beseitigen drei kritische Sicherheitslücken. Eine von ihnen (CVE-2020-17490) schätzt das Salt-Team im Hinblick auf das Gefahrenpotenzial vorläufig als "Low", die anderen allerdings (CVE-2020-16846, CVE-2020-25592) als "High" bis "Critical" ein.

SaltStack-Anwender sollten die Packages (oder alternativ: die verfügbaren Patches) nach Empfehlung des Teams aber in jedem Fall so zeitnah wie möglich anwenden.

Detail zu den Lücken nennt SaltStacks Security Advisory Demnach könnten unauthentifizierte Angreifer mit Netzwerkzugriff auf die Salt-API CVE-2020-16846 zum Ausführen von Code auf verwundbaren Systemen über den SSH-Client missbrauchen (Shell injection).

CVE-2020-25592 basiert auf unzureichender Validierung von Zugangsdaten und Tokens und könnte Angreifern die Umgehung von Authentifizierungsmechanismen ermöglichen, um ebenfalls Befehle über den SSH-Client auszuführen. CVE-2020-17490 fasst sicherheitsrelevante Bugs im TLS-Verschlüsselungsmodul zusammen.

SaltStacks Advisory nimmt keine Eingrenzung der Verwundbarkeit auf bestimmte Versionen vor; letztlich scheinen alle (ungepatchten) Ausgaben über die drei Lücken angreifbar zu sein.

Security-Packages stehen im SaltStack-Repository für die Versionen 3002.x, 3001.x , 3000.x und 019.x bereit (Auswahl über das Dropdown-Menü).

Bei GitLab bereitgestellte Patches sichern folgende SaltStack-Versionen ab:

  • 3002
  • 3001.1, 3001.2
  • 3000.3, 3000.4
  • 2019.2.5, 2019.2.6
  • 2018.3.5
  • 2017.7.4, 2017.7.8
  • 2016.11.3, 2016.11.6, 2016.11.10
  • 2016.3.4, 2016.3.6, 2016.3.8
  • 2015.8.10, 2015.8.13

Nutzer älterer Versionen sollten laut Entwicklerteam zunächst auf eine der obigen Versionen updaten, um den jeweiligen Patch anwenden zu können.

Lesen Sie auch

(ovw)