Alert!

Zehn SicherheitslĂĽcken in Server-Konfigurationssoftware Saltstack geschlossen

Es gibt wichtige Sicherheitsupdates fĂĽr die Serversoftware Saltstack. Keine LĂĽcke gilt als kritisch.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: Tatiana Popova/Shutterstock.com)

Lesezeit: 2 Min.

Angreifer könnten Server attackieren, die Admins mit Saltstack konfigurieren. Der Großteil der Schwachstellen ist mit dem Bedrohungsgrad "hoch" eingestuft. Klappen Attacken, könnten Angreifer beispielsweise Schadcode ausführen.

Mit der Open-Source-Software Saltstack können Admins Server verwalten. Darüber ist es etwa möglich, Konfigurationen automatisiert vorzunehmen und so unter anderem Software-Pakete installieren.

Angreifer könnten beispielsweise am wheel_async-Client ansetzen und aufgrund von unzureichenden Überprüfungen eigene Befehle ausführen. Damit Attacken erfolgreich sind, müssen in einigen Fällen Funktionen laufen, die standardmäßig nicht aktiv sind. Beispielsweise das SSH-Modul. Weitere Infos dazu und zu den Sicherheitslücken findet man in der offiziellen Warnmeldung. Dort sind auch die CVE-Nummern aufgelistet.

Außerdem könnten Angreifer unter anderem noch eigentlich abgelaufene Tokens weiter benutzen oder sich als Man-in-the-Middle in TLS-Verbindungen einklinken. Auch das Hochstufen von Nutzerrechten soll möglich sein.

Die Entwickler geben an, die Pakete 3000.8, 3001.6 und 3002.5 gegen solche Attacken abgesichert zu haben. Sicherheitsupdates gibt es fĂĽr die folgenden Saltstack-Versionen:

  • 3002.2
  • 3001.4
  • 3000.6
  • 2019.2.8
  • 2019.2.5
  • 2018.3.5
  • 2017.7.8
  • 2016.11.10
  • 2016.11.6
  • 2016.11.5
  • 2016.11.3
  • 2016.3.8
  • 2016.3.6
  • 2016.3.4
  • 2015.8.13
  • 2015.8.10

Wer eine ältere Ausgabe nutzt, sollte auf eine aktuelle im Support befindliche Versionen upgraden. Die Entwickler weisen ausdrücklich darauf hin, dass sie in Zukunft keine Ausnahmen mehr machen wollen und nicht mehr im Support befindliche Ausgaben keine Sicherheitsupdates mehr bekommen.

(des)