Bulletin d'alerte Debian

DLA-2480-1 salt -- Mise à jour de sécurité pour LTS

Date du rapport :
4 décembre 2020
Paquets concernés :
salt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-16846, CVE-2020-17490, CVE-2020-25592.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans salt.

  • CVE-2020-16846

    Un utilisateur non authentifié avec accès réseau à l’API de Salt peut utiliser des injections d’interpréteur de commandes pour exécuter du code sur l’API de Salt en utilisant le client SSH.

  • CVE-2020-17490

    Lors de l’utilisation des fonctions create_ca, create_csr et create_self_signed_cert dans le module d’exécution tls, il n’est pas sûr que la clé soit créée avec les permissions correctes.

  • CVE-2020-25592

    Validation adéquate des accréditations et jetons eauth en accord avec leurs listes de contrôle d’accès (ACL). Avant cette modification, eauth n’était pas validé correctement lors de l’appel à Salt par SSH à l’aide de salt-api. N’importe quelle valeur de eauth ou token permet à l’utilisateur de contourner l’authentification et de réaliser des appels à Salt par SSH

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2016.11.2+ds-1+deb9u6.

Nous vous recommandons de mettre à jour vos paquets salt.

Pour disposer d'un état détaillé sur la sécurité de salt, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/salt.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.