Salt

Die Schwachstelle betrifft die Salt-API der Automatisierungs- und Konfigurationsmanagement-Software Salt von SaltStack. Ist in dieser API der SSH-Client aktiviert, lassen sich über speziell präparierte Web-Anfragen an die Schnittstelle Betriebssystembefehle einschleusen (Shell Injection). Ausnutzbar ist der Defekt aus der Ferne über das Netzwerk und ohne jede Anmeldung: Ein unauthentifizierter Angreifer, der die Salt-API erreichen kann, schleust über die manipulierten Anfragen eigene Befehle ein und bringt sie auf dem System zur Ausführung. Damit erlangt er die Möglichkeit, fremden Code auf der betroffenen Salt-Infrastruktur laufen zu lassen. Da Salt typischerweise zentral eine Vielzahl von Servern verwaltet, reicht die Tragweite über das einzelne System hinaus. Betroffen ist jede Installation, die die Salt-API betreibt und bei der der SSH-Client eingeschaltet ist.