Multiples vulnérabilités dans SaltStack

Gestion du document

Référence	CERTFR-2020-ALE-012
Titre	Multiples vulnérabilités dans SaltStack
Date de la première version	04 mai 2020
Date de la dernière version	31 juillet 2020
Source(s)	Bulletin de sécurité SaltStack du 30 avril 2020 Bulletin de sécurité VMware VMSA-2020-0009 du 08 mai 2020 Bulletin de sécurité Debian dsa-4676 du 06 mai 2020 Bulletin de sécurité SUSE suse-su-20201151-1 du 29 avril 2020 Bulletin de sécurité SUSE suse-su-20201150-1 du 29 avril 2020 Bulletin de sécurité SUSE suse-su-202014351-1 du 29 avril 2020 Bulletin de sécurité SUSE suse-su-202014350-1 du 29 avril 2020 Bulletin de sécurité SUSE suse-su-20201147-1 du 29 avril 2020 Bulletin de sécurité Cisco cisco-sa-salt-2vx545AG du 29 mai 2020
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque(s)

Exécution de code arbitraire
Contournement de la politique de sécurité

Systèmes affectés

SaltStack versions antérieures à 2019.2.4 et 3000.2

Résumé

De multiples vulnérabilités ont été découvertes dans les deux versions 2019 et 3000 de la solution SaltStack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un contournement de la politique de sécurité.

Plusieurs incidents de sécurité ont été relayés en source ouverte suite à des attaques ciblées.

Le CERT-FR recommande l’application de la mise à jour dans les plus brefs délais selon les recommandations de l'éditeur.

Enfin, le CERT-FR recommande également d'appliquer les bonnes pratiques de cloisonnement des composants d'administration [1] et de renouveler les secrets d'authentification utilisés par la solution SaltStack. Il est enfin fortement recommandé de procéder à une vérification de la sécurité du Système d’Information afin de détecter une attaque éventuelle.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Avis CERT-FR du 04 mai 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-263/
Bulletin de sécurité SaltStack du 30 avril 2020
https://help.saltstack.com/hc/en-us/articles/360043056331-New-SaltStack-Release-Critical-Vulnerability
Bulletin de sécurité VMware VMSA-2020-0009 du 08 mai 2020
https://www.vmware.com/security/advisories/VMSA-2020-0009.html
Bulletin de sécurité Debian dsa-4676 du 06 mai 2020
https://www.debian.org/security/2020/dsa-4676
Bulletin de sécurité SUSE suse-su-20201151-1 du 29 avril 2020
https://www.suse.com/support/update/announcement/2020/suse-su-20201151-1/
Bulletin de sécurité SUSE suse-su-20201150-1 du 29 avril 2020
https://www.suse.com/support/update/announcement/2020/suse-su-20201150-1/
Bulletin de sécurité SUSE suse-su-202014351-1 du 29 avril 2020
https://www.suse.com/support/update/announcement/2020/suse-su-202014351-1/
Bulletin de sécurité SUSE suse-su-202014350-1 du 29 avril 2020
https://www.suse.com/support/update/announcement/2020/suse-su-202014350-1/
Bulletin de sécurité SUSE suse-su-20201147-1 du 29 avril 2020
https://www.suse.com/support/update/announcement/2020/suse-su-20201147-1/
Bulletin de sécurité Cisco cisco-sa-salt-2vx545AG du 29 mai 2020
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-salt-2vx545AG
Référence CVE CVE-2020-11651
https://www.cve.org/CVERecord?id=CVE-2020-11651
Référence CVE CVE-2020-11652
https://www.cve.org/CVERecord?id=CVE-2020-11652
[1] Recommandations relatives à l'administration sécurisée des systèmes d'information
https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf

Gestion détaillée du document

le 04 mai 2020: Version initiale

le 11 mai 2020: Ajout des bulletins de sécurité VMware, Debian et SUSE

le 29 mai 2020: Ajout du bulletin de sécurité Cisco cisco-sa-salt-2vx545AG du 29 mai 2020

le 31 juillet 2020: La clôture d'une alerte ne signifie pas la fin d'une menace. Seule l'application de la mise à jour permet de vous prémunir contre l'exploitation de la vulnérabilité correspondante.

Bulletin d'alerte du CERT-FR

Objet: Multiples vulnérabilités dans SaltStack