2020-0910: Salt: Zwei Schwachstellen ermöglichen u. a. die vollständige Kompromittierung des Systems

Historie:

Version 1 (2020-04-30 19:57)

Neues Advisory

Version 2 (2020-05-04 11:28)

Für die Distribution openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'salt' bereit, um die beiden referenzierten Schwachstellen zu beheben.

Version 3 (2020-05-06 14:30)

Für Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) stehen Backport-Sicherheitsupdates für 'salt' bereit, mit denen die aktuellen Schwachstellen behoben werden. Mit den Sicherheitsupdates wird zusätzlich CVE-2019-17361 adressiert, die einem entfernten Angreifer die Ausführung beliebigen Programmcodes auf Salt-API Hosts ermöglicht.

Version 4 (2020-05-22 20:50)

Für Suse Enterprise Storage 5 steht ein Sicherheitsupdate für 'salt' zur Behebung der beiden Schwachstellen bereit.

Version 5 (2020-06-02 10:37)

Für Debian 8 Jessie (LTS) steht ein Sicherheitsupdate für 'salt' auf Version '2014.1.13+ds-3+deb8u1' bereit, um die beiden referenzierten Schwachstellen zu beheben.

Version 6 (2020-06-18 14:00)

Cisco bestätigt die Schwachstellen in dem Sicherheitshinweis cisco-sa-salt-2vx545AG für Cisco TelePresence IX5000 Series Geräte. Da diese Geräte von Cisco nicht mehr unterstützt werden, wird es kein Sicherheitsupdate geben, um die Schwachstellen zu schließen. Die einzige Möglichkeit der Mitigation besteht in der Deaktivierung des Salt Stacks, wofür aber Startskripte durch den Benutzer 'root' editiert werden müssen.

Version 7 (2024-06-26 12:37)

Für Ubuntu 14.04 ESM steht ein Sicherheitsupdate für 'salt' bereit, um die Schwachstellen zu beheben.

Betroffene Software

Netzwerk

Betroffene Plattformen

Hardware
Cisco
Linux

Beschreibung:

Zwei Schwachstellen ermöglichen einem entfernten Angreifer das Erlangen von Administratorrechten und das Umgehen von Sicherheitsvorkehrungen.

Für die SUSE Linux Enterprise Produkte Server 15 LTSS, Server for SAP 15, Module for Basesystem 15 SP1, Module for Python2 15 SP1, Module for Server Applications 15 SP1, Module for Advanced Systems Management 12 sowie für SUSE Manager Tools 12, Server 3.2, Proxy 3.2, Ubuntu 16.04 Client Tools und Ubuntu 18.04 Client Tools stehen Sicherheitsupdates für 'SaltStack Salt' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2020-11651

Schwachstelle in Salt ermöglicht Erlangen von Administratorrechten

CVE-2020-11652

Schwachstelle in Salt ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.