Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

SaltStack: Security-Packages beseitigen drei teils kritische Sicherheitslücken

Für viele SaltStack-Versionen stehen Aktualisierungen bereit; die Entwickler raten angesichts der von drei Lücken ausgehenden Gefahren zum zeitnahen Update.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Die Entwickler von SaltStack, einer Open-Source-Software zur automatisierten Serversystem-Konfiguration, haben Security-Packages und Patches für mehrere Versionen veröffentlicht. Die Fixes beseitigen drei kritische Sicherheitslücken. Eine von ihnen (CVE-2020-17490) schätzt das Salt-Team im Hinblick auf das Gefahrenpotenzial vorläufig als "Low", die anderen allerdings (CVE-2020-16846, CVE-2020-25592) als "High" bis "Critical" ein.

SaltStack-Anwender sollten die Packages (oder alternativ: die verfügbaren Patches) nach Empfehlung des Teams aber in jedem Fall so zeitnah wie möglich anwenden.

Unbefugte Codeausführung möglich

Detail zu den Lücken nennt SaltStacks Security Advisory Demnach könnten unauthentifizierte Angreifer mit Netzwerkzugriff auf die Salt-API CVE-2020-16846 zum Ausführen von Code auf verwundbaren Systemen über den SSH-Client missbrauchen (Shell injection).

CVE-2020-25592 basiert auf unzureichender Validierung von Zugangsdaten und Tokens und könnte Angreifern die Umgehung von Authentifizierungsmechanismen ermöglichen, um ebenfalls Befehle über den SSH-Client auszuführen. CVE-2020-17490 fasst sicherheitsrelevante Bugs im TLS-Verschlüsselungsmodul zusammen.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Security-Packages und Patches

SaltStacks Advisory nimmt keine Eingrenzung der Verwundbarkeit auf bestimmte Versionen vor; letztlich scheinen alle (ungepatchten) Ausgaben über die drei Lücken angreifbar zu sein.

Security-Packages stehen im SaltStack-Repository für die Versionen 3002.x, 3001.x , 3000.x und 019.x bereit (Auswahl über das Dropdown-Menü).

Bei GitLab bereitgestellte Patches sichern folgende SaltStack-Versionen ab:

  • 3002
  • 3001.1, 3001.2
  • 3000.3, 3000.4
  • 2019.2.5, 2019.2.6
  • 2018.3.5
  • 2017.7.4, 2017.7.8
  • 2016.11.3, 2016.11.6, 2016.11.10
  • 2016.3.4, 2016.3.6, 2016.3.8
  • 2015.8.10, 2015.8.13

Nutzer älterer Versionen sollten laut Entwicklerteam zunächst auf eine der obigen Versionen updaten, um den jeweiligen Patch anwenden zu können.

Lesen Sie auch

(ovw)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten