速修复！开源 IT 基础设施管理解决方案 Salt 被曝多个严重漏洞

Salt 是一款开源的 IT 基础设施管理解决方案，用 Python 编写，广泛应用于全球的数据中心。

建议用户立即修复 Salt 实例。

今天披露的三个严重漏洞如下：

（1）    CVE-2020-16846（高危/严重）

该漏洞是“shell 注入漏洞“。当调用 SaltStack SSH 客户端上的 “subprocess.call” 时删除 “shell=True” 选项修复。

Python 模块 subprocess 可使用户在系统上生成新进程。众所周知，用外部用户输入构造的 command 和 “shell=True” 选项调用该选项存在安全风险。

（第49行删除 “shell=True” 选项，阻止shell 注入攻击）

如上所示，Salt 项目发布的修复方案表示，”停止通过 shell=True 调用 Popen，阻止 netapi salt-ssh 客户端上的shell 注入攻击。

（2）    CVE-2020-25592（高危/严重）

该漏洞是认证绕过漏洞。然而它的修复方案却是指向神秘的 CVE-2020-16804,“正确验证 eauth 凭据和令牌及其 ACL。在此之前，eauth 在通过 salt-api 调用 Salt ssh 时并未正确验证。‘eauth’ 或 ‘token’ 的任何值都将允许用户绕过认证并向 Salt ssh 做出调用“。

Salt 项目的开发人员提供的测试案例证实，在已修复版本中，恶意 eauth 数据应该会导致 Salt 应用抛出异常，而非传递认证检查。

（3）    CVE-2020-17490（低危）

该漏洞是权限问题，而非打开/保存加密私钥文件时的访问模式问题。

Salt 发布公告称，“该 CVE 影响此前使用了 TLS 模块中的 create_ca、create_csr 和 create_self_signed_cert 函数的任何 Minions 或 Masters。当使用这些函数时，无法确保该密钥是通过正确的权限创建的。修复后，这些密钥不再通过全局可读的权限和使用600创建。”当打开 SSH 密钥时，以 “os.O_RDWR”（读写）标记替换 “os.O_WRONLY”（只读）标记修复了该漏洞。

虽然这些漏洞是今天披露的，但值得注意的是这三个漏洞的修复方案早在之前就披露给 GitHub。

例如，CVE-2020-16848 的修复方案早在8月18日就推送到了 GitHub，而 Salt 客户端shell 注入的测试案例也提到了多个 ZDI 的编号，如 ZDI-CAN-11143。原始报告的日期是2020年6月。

11月3日发布的安全公告确实致谢 ZDI KPC发现 CVE-2020-16846 和 CVE-2020-17490，而研究员早在6月份就报告了多个 ZDI 漏洞。

目前尚不清楚 SaltStack 为何在公开披露漏洞前就已将 CVE 漏洞编号和修复方案发布到 GitHub 上，因为这样做可能被威胁行动者用于创建 exploit。

目前，Shodan 列出了被暴露到互联网上的 6000 多个 Salt Master 节点，并非所有的节点都运行已修复的最新版本。

10月30日，SaltStack 发布安全公告称，这些 CVE 将会在美国总统大选日发布。鉴于今年年初，易受攻击记得 Salt 实例遭受大规模攻击，因此提前部分披露的行为是SaltStack 做出的谨慎动作。

安全公告指出，“从 CVSS 评分来看，其中两个漏洞应该是高危/严重级别，另外一个是低危漏洞。SaltStack 发现这些漏洞后，快速采取修复措施。”

部分披露正成为开源软件的常态。

提前告知可赶在攻击者实施利用之前修复易受攻击的实例。

已修复的版本包括3002.1、3001.3 和 3000.5。SaltStack 公司还为老旧版本提供了补丁，如2019.x。

另外，该公司还提供了其它有助于加固 Salt 实例安全的措施。

然而，尽管已提前告知，但选择在大选之日公开严重漏洞的做法仍有待商榷，尤其是考虑到已修复版本也在今天发布，和完全披露日期一样的情况。

目前，用户可从 PyPI 下载区 (https://pypi.org/project/salt/#history) 下载已修复版本。更多详情可参加今天发布的安全公告。