Nautobot de Nautobot. Vulnerabilidades y errores

Errores CVE de Nautobot de Nautobot

Vulnerabilidades CVE de Nautobot de Nautobot

Nautobot es una fuente de red de la verdad y una plataforma de automatización de red.

22 de febrero del 2023

  • CVE-2023-25657: Todos los usuarios de versiones de Nautobot anteriores a la 1.5.7 se ven afectados por una vulnerabilidad de ejecución remota de código. Nautobot no realizó correctamente la representación de la plantilla Jinja2 en el sandbox. En Nautobot 1.5.7 ha habilitado entornos de espacio aislado para el motor de plantillas Jinja2 utilizado internamente para la representación de plantillas para los siguientes objetos: `extras.ComputedField`, `extras.CustomLink`, `extras.ExportTemplate`, `extras.Secret`, `extras .Webhook`.
  • Si bien no se conocen explotaciones activas de esta vulnerabilidad, este cambio se realizó como una medida preventiva para protegerse contra posibles ataques de ejecución remota de código que utilicen código de plantilla creado con fines malintencionados.
  • Este cambio obliga al motor de plantillas Jinja2 a utilizar un `Sandboxed Environment` en todas las instalaciones nuevas de Nautobot. Esto aborda cualquier posible ejecución de código no seguro en todos los lugares donde se llama a la función auxiliar `nautobot.utilities.utils.render_jinja2`.
  • Además, la documentación que sugería anteriormente el uso directo de `jinja2.Template` se ha revisado para sugerir `render_jinja2`. Se recomienda a los usuarios que actualicen a Nautobot 1.5.7 o posterior.
  • Para los usuarios que no pueden actualizar a la última versión de Nautobot, puede agregar la siguiente configuración a su `nautobot_config.py` para aplicar la aplicación del entorno sandbox: `TEMPLATES[1]["OPTIONS"]["environment"] = "jinja2.sandbox.SandboxedEnvironment"` Después de aplicar este cambio, debe reiniciar todos los servicios de Nautobot, incluidos los procesos de trabajo de Celery. **Nota:** *Nautobot especifica dos motores de plantilla por defecto, el primero es "django" para el motor de plantillas integrado de Django, y el segundo es "jinja" para el motor de plantillas Jinja2.
  • Esta configuración recomendada actualizará el segundo elemento en la lista de motores de plantilla, que es el motor Jinja2.* Para los usuarios que no pueden actualizar inmediatamente su configuración, como si un reinicio del servicio Nautobot es demasiado perjudicial para las operaciones, acceda para proporcionar Jinja2 personalizado.
  • Los valores de la plantilla se pueden mitigar mediante permisos para restringir las acciones de "cambio" (escritura) a los tipos de objetos afectados enumerados en la primera sección. **Nota:** *Esta solución pretende ser provisional hasta que pueda actualizar con éxito su `nautobot_config.py` o actualizar su instancia de Nautobot para aplicar la aplicación del entorno de espacio aislado.* Esta configuración recomendada actualizará el segundo elemento en la lista de motores de plantilla, que es el motor Jinja2.* Para los usuarios que no pueden actualizar inmediatamente su configuración, como si un reinicio del servicio Nautobot es demasiado perjudicial para las operaciones, acceda para proporcionar Jinja2 personalizado. los valores de la plantilla se pueden mitigar mediante permisos para restringir las acciones de "cambio" (escritura) a los tipos de objetos afectados enumerados en la primera sección. **Nota:**
  • *Esta solución pretende ser provisional hasta que pueda actualizar con éxito su `nautobot_config.py` o actualizar su instancia de Nautobot para aplicar la aplicación del entorno de espacio aislado.* el acceso para proporcionar valores de plantilla Jinja2 personalizados puede mitigarse mediante permisos para restringir las acciones de "cambio" (escritura) a los tipos de objetos afectados enumerados en la primera sección. **Nota:** *Esta solución pretende ser provisional hasta que pueda actualizar con éxito su `nautobot_config.py` o actualizar su instancia de Nautobot para aplicar la aplicación del entorno de espacio aislado.*

Sitios de referencia

  • CVE-2023-25657 https://github.com/nautobot/nautobot/commit/d47f157e83b0c353bb2b697f911882c71cf90ca0

Otras paginas de vulnerabilidades CVE

¿Quieres encontrar más vulnerabilidades?.

Sin usted, esta web no existiria. Gracias por visitarme, espero que le haya gustado y vuelva. Muchas gracias ☺️

Fecha actualización el 2023-02-25. Fecha publicación el 2023-02-25. Autor: Oscar olg Mapa del sitio Fuente: cve report