The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Опасные уязвимости в системе управления конфигурацией SaltStack"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Опасные уязвимости в системе управления конфигурацией SaltStack"  +/
Сообщение от opennews (??), 02-Мрт-21, 15:58 
В новых выпусках системы централизованного управления конфигурацией SaltStack 3002.5, 3001.6 и 3000.8  устранена уязвимость (CVE-2020-28243) позволяющая непривилегированному локальному пользователю хоста повысить свои привилегии в системе. Проблема вызвана ошибкой в обработчике salt-minion, применяемом для приёма команд с центрального сервера. Уязвимость была выявлена в ноябре, но исправлена только сейчас...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=54685

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +2 +/
Сообщение от Аноним (1), 02-Мрт-21, 15:58 
Кажется Salt переплюнут proftpd по наплевательскому отношению к безопасности. Это же надо в стольких местах забыть проверить ".."  и ";" перед выполнением команд и заявить о шифровании коммуникаций, но не проверять сертификат.
Ответить | Правка | Наверх | Cообщить модератору

4. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +2 +/
Сообщение от Аноним (-), 02-Мрт-21, 16:14 
Может они пытаются новый вид уязвимости открыть.. фузингом CVE
Ответить | Правка | Наверх | Cообщить модератору

32. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Аноним (32), 03-Мрт-21, 22:50 
Уязвимость в каталогах CVE? Неожиданный тип уязвимости - вулносайтокапец!
Ответить | Правка | Наверх | Cообщить модератору

16. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +2 +/
Сообщение от пох. (?), 02-Мрт-21, 17:38 
Знаешь, там все увизьгвимости последних лет - из серии "ну теперь тебе точно п-ц" и "они - уху ели!"

У тебя пользователи (!) на автоматически управляемой (!) системе могут подменять управляемые тобой процессы (не абы какие, а именно salt'ом рестартимые), и в этом - увизьгвимость?

Ты пользователю доверил salt'ом исполнять команды на куче серверов, и теперь боишься двоеточий?

Или пресловутые "mitm-атаки" - у тебя В СЕТИ mitm! Какой, н$!#, уже salt ?! Тебе П-Ц!
Это даже покруче чече...простите, чешского оператора, ворующего траффик клиентов (уворовать еще ладно, для mitm нужна возможность инжектить). Вы зачем вообще в такую сеть без химзащиты выходите?!
Одно дело просто пошифровать управление чтоб такие вот чеч...хи не подглядывали "чисто случайно, сеть отлаживали", но всерьез бороться с всерьез вздумавшим тебя ломануть провайдером? Да БЕГИТЕ нахер оттуда, пока в рабство не продали, тут хоть сорок презервативов на себя надень, не поможет.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

21. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  –1 +/
Сообщение от pistrello (?), 02-Мрт-21, 18:39 
Чё?
Ответить | Правка | Наверх | Cообщить модератору

33. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Аноним (32), 03-Мрт-21, 22:51 
Это пох, видный эксперт по безопасТности. Видишь, у него безопасТность нагибается от MITM в сети.
Ответить | Правка | Наверх | Cообщить модератору

23. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Аноним (23), 02-Мрт-21, 19:46 
Ну как то у них не работали их же пакеты, Карл. То есть никто даже не проверял а работает ли то что собралось в принципе.
А когда то и вовсе не запускался под определённой версией бубунты (не косяк солта, но его зависимостей и косяк бубунты) и ничего с этим сделать не могли что то около полугода. Это простительно для домашнего проекта, но для софта претендующего на ядро энтерпрайза это просто смешно.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

25. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от пох. (?), 02-Мрт-21, 20:03 
> А когда то и вовсе не запускался под определённой версией бубунты (не косяк солта, но его
> зависимостей и косяк бубунты) и ничего с этим сделать не могли что то около полугода.

ну так кто же должен исправлять косяки убунты? Авторы менеджера конфигураций? Хм... а точно не убунтиные майнтейнеры? Да нет, зачем же...

В убунте что-то около года установка docker swarm роняла docker build. Из-за притаскивания зависимости третьего порядка, что характерно - нахрен ненужной ни сварму, ни докеру. Но удалить ее нельзя, required - то есть можно но apt после этого работать не будет. Ну и что? Они всегда так живут.

> Это простительно для домашнего проекта, но для софта претендующего на ядро энтерпрайза

что-то мне подсказывает, что он претендовал на ядро ентерпрайза, но построенного исключительно на технологиях novell, ныне покойной.
Во всех остальных случаях его после сборки надо доработать очень крупным напильником.

К сожалению, никакой другой готовой технологии без необходимости складывания в кучку ключей от всего, современная смузи-разработка так и не породила. А salt толком не поддерживается и разработчики давно уже неведомо куда разбрелись (то что осталось - тоже только смузи лакать способно)


Ответить | Правка | Наверх | Cообщить модератору

2. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +2 +/
Сообщение от Аноним (2), 02-Мрт-21, 16:03 
В этом Salt ещё 100500 багов. Можно случайно убить систему. Или целый VmWare-кластер. Разработчики не реагируют на баг-репорты. А через 3-6 месяцев репорты закрывают.
Ответить | Правка | Наверх | Cообщить модератору

17. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от пох. (?), 02-Мрт-21, 17:41 
Может у тебя багрепорты были уровня "отправил rm -rf / на весь кластер, он почему-то сдох!" ?

Логично, в общем-то... для того и брали.

В общем, багрепорт как безобидной командой ты уронил vmware кластер (нахера кстати вмвари салт, кто бы пояснил?) в студию.

Ответить | Правка | Наверх | Cообщить модератору

3. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +2 +/
Сообщение от Аноним (3), 02-Мрт-21, 16:12 
Настоящий серьезный бизнес, не какой-нибудь там опенсоурс.
Ответить | Правка | Наверх | Cообщить модератору

5. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Аноним (-), 02-Мрт-21, 16:15 
> https://github.com/saltstack/salt/pulls

та вы посмотрите на эту помойку. какая нафиг безопасность ???

Ответить | Правка | Наверх | Cообщить модератору

27. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Последний из могикан (?), 02-Мрт-21, 21:27 
Мсье не понимает сарказма?
Ответить | Правка | Наверх | Cообщить модератору

6. Скрыто модератором  –3 +/
Сообщение от Аноним (6), 02-Мрт-21, 16:18 
Ответить | Правка | Наверх | Cообщить модератору

7. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Аноним (7), 02-Мрт-21, 16:41 
А есть альтернативы? Puppet, chef безнадежно устарели, у ansible архитектура неудачная, для большого количества серверов не особо годен, да и по функционалу сильно от salt отстаёт
Ответить | Правка | Наверх | Cообщить модератору

8. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +1 +/
Сообщение от Сейд (ok), 02-Мрт-21, 16:43 
А чем безнадёжно устарел Puppet?
Ответить | Правка | Наверх | Cообщить модератору

9. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +3 +/
Сообщение от Аноним (9), 02-Мрт-21, 16:50 
Тем, что удобный, простой и работает. Неужели не понятно?
Ответить | Правка | Наверх | Cообщить модератору

11. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +3 +/
Сообщение от Аноним (7), 02-Мрт-21, 16:57 
Так то и bash тоже удобный, простой и работает
Ответить | Правка | Наверх | Cообщить модератору

28. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +1 +/
Сообщение от Ононимусemail (?), 02-Мрт-21, 22:26 
Так он и не устарел)
Ответить | Правка | Наверх | Cообщить модератору

29. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Аноним (7), 02-Мрт-21, 22:33 
Для управления конфигурациями bash является устаревшим изначально. Поэтому всякие chef и придумали
Ответить | Правка | Наверх | Cообщить модератору

31. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Псевдоним (??), 02-Мрт-21, 23:58 
Ничерта паппет не простой и не шибко удобный. Но работает, этого не отнять.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

10. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +1 +/
Сообщение от Аноним (7), 02-Мрт-21, 16:56 
Долго расписывать, думал все это знают, но если вкратце, то всем. Ансибл как раз и появился потому что проще переписать было
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

13. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +1 +/
Сообщение от Псевдоним (??), 02-Мрт-21, 16:59 
Переусложнен, ruby, в целом за счёт легаси и архитектуры негаомоничен: оркестрировать предлагается отдельными инструментами, push стратегия тоже реализуется через них. Можно обмазаться паппетом и джедайски пилить нужные модули (и править существующие), а в свободное время думать об архитектуре уже манифестов, но это уже нужен неплохой специалист, которого тяжело будет заменить и даже пошарить его знания с коллегами будет проблематично (руби то далеко не все знают даже в москае, а кто знает - не знает паппет, немногие кто хорошо знает паппет с большой вероятностью уже пригрет в одной из компаний, больших перспектив в этом не видно, так что и желающих вырастать в паппет специалистов не много)
Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

14. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +1 +/
Сообщение от Псевдоним (??), 02-Мрт-21, 17:00 
Ну и в конфигурацию сетевых железок не умеет
Ответить | Правка | Наверх | Cообщить модератору

12. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +1 +/
Сообщение от Ted (?), 02-Мрт-21, 16:57 
Для сетевых коробок использую nornir
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

24. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  –1 +/
Сообщение от пох. (?), 02-Мрт-21, 19:54 
То есть тебе не лень было учить его бредовый и толком недокументированный фреймворк (при наличии знаний и умений в собственно впихон) ради... чего, собственно? "декларативного управления сетевыми железками"? (прежде чем что-то подекларировать - изволь это написать на впихоне)

Я могу понять пользующихся отсосиблем, это стильно, модно, молодежно, топ-менеджеры одобряют, премию выпишут, и в резюм полезная строчка, а ты такой только готовые плейбуки ctrl-c/ctrl-v. И пароли от всего лежат кучкой, удобно, если чо, все свалить на злобных-презлобных хакеров.

Но ЭТО-то недоразумение - нахрена?

Ответить | Правка | Наверх | Cообщить модератору

26. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от нона (?), 02-Мрт-21, 21:25 
Он же ничего не умеет.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

30. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от пох. (?), 02-Мрт-21, 22:48 
Вот сейчас кодерам на пихоне обидно было!

Ответить | Правка | Наверх | Cообщить модератору

15. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +3 +/
Сообщение от Аноним (15), 02-Мрт-21, 17:04 
Я смотрю у девопсов и сисадминов цирк с конями покруче чем у фронтендеров. Такое же стремительное "развитие" технологий.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

18. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от пох. (?), 02-Мрт-21, 17:46 
Понимаешь ли, автоматическое обновление конфигураций по всем серверам чохом мы придумали за десять лет до изобретения этих модных девляпсовых игрушек.

Но оно было соврешенно небезопастное, представь себе. Потому что нам ну не приходило в голову героически защищаться от mitm в собственной сети, или от двоеточий. Если бы мне пришло в голову что-то "хакнуть", я бы на нужную машину рутовым ssh просто зашел (кстати, автоматика потом бы замела за мной все следы). Боюсь представить, кому же это в голову таки приходит.

Ответить | Правка | Наверх | Cообщить модератору

22. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от Аноним (22), 02-Мрт-21, 19:29 
В кои-то веки так сильно согласен с похом!
Ответить | Правка | Наверх | Cообщить модератору

20. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  –2 +/
Сообщение от _ (??), 02-Мрт-21, 18:22 
Nix
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

34. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +1 +/
Сообщение от _ (??), 04-Мрт-21, 06:33 
You are fake!(C)
Ответить | Правка | Наверх | Cообщить модератору

35. "Опасные уязвимости в системе управления конфигурацией SaltSt..."  +/
Сообщение от anoneem (?), 05-Мрт-21, 22:49 
т.е. у солта архитектура по вашему удачная? Ох... у меня про нее столько багов заведено, да им и пофиг на самом деле. Приходится приватный форк держать чтобы хоть как-то жто творение на скейле фурычило
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру