聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士团队
Salt Project 再次发布补丁,修复命令注入漏洞 (CVE-2020-28243)。该漏洞影响 SaltStack Salt 3002.5 之前的版本。
SaltStack Salt是一款自动化和基础设施开源软件。攻击者通过构造的进程名称即可使 minion 的 restartcheck 易受命令注入攻击。用户只要能够在未列入黑名单的目录中的 minion 上创建文件即可造成本地提权后果。
该漏洞由 Immersive Labs 的安全研究员 Matthew Rollings 在2020年11月发现,如遭利用,则可导致攻击者构造进程名称并实现本地提权。另外还可造成容器逃逸后果,而且只要满足某些条件就可能篡改进程名称,不过实现这一目的并非易事。
该漏洞于2月4日修复,不过并未被完全修复。
Rollings 指出,该漏洞的补丁确实阻止了命令注入但仍允许参数注入。虽然后者的危害程度不及前者,但本可能导致拒绝服务和软件崩溃。Salt Project 还增加了命令 shell 清理库 shlex以阻止命令注入后果。
Rollings 解释称,“增加该修复方案的开发人员犯了一个错误。他们所提供的 shlex 并未提供任何额外的防护措施。Shlex.split 函数接收输入字符串并使用空格作为定界符将其分割为命令及参数。我们控制包变量,这意味着我们可以在命令中注入其它参数。”他指出,即使进行了清理,在同样的条件下仍然可造成参数注入后果。
SaltStack 在未跟 Immersive Labs 协调的情况下发布修复方案,Immersive Labs 认为这是导致补丁未经适当测试的原因之一。该公司指出,“如果他们能够就修复方案进行沟通,则这个问题本来可以发现,第二次修复方案就不需要发布了。”
不过在获悉补丁存在错误时,SaltStack 在公开发布第二次修复方案前已私下共享。第二次修复方案发布于当地时间3月23日,已构建数组阻止程序包名称遭篡改。Rollings 指出,SaltStack 第二次发布补丁之前事先进行了分享,他认为这是朝好的方向迈进,并展现出主动而非响应式安全方式,在长期看主动安全方式更好。
推荐阅读
SaltStack 修复 Stack minion中的提权漏洞 (CVE-2020-28243)
参考链接
https://www.zdnet.com/article/saltstack-revises-partial-patch-for-command-injection-privilege-escalation-vulnerability/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~