【风险公告】SaltStack 多个高危缝隙
2020-11-04 00:00:00
11月4日�,,234钱包安全应急响应中心监测到SaltStack官方颁布安全更新�,,修复了蕴含CVE-2020-16846 远程号令执行缝隙�、�、CVE-2020-25592 认证绕过在内的多个高危缝隙�。
SaltStack利用宽泛且这次修复的缝隙�:ρ现�,,请有关用户尽快将SaltStack升级到最新版本�,,预防遭逢恶意攻击�。
风险等级
严重
缝隙描述
l CVE-2020-16846号令行执行缝隙
未经身份验证的攻击者能够机关恶意要求�,,可通过操作Stack API注入SSH衔接号令�,,导致号令执行�。
l CVE-2020-25592: 验证绕过缝隙
Salt在验证eauth痛处和接见节制列表ACL时存在一处验证绕过缝隙�。远程攻击者发送特制的要求包�,,能够通过salt-api绕过身份验证�,,直接执行SSH号令�,,从而节礼服务器�。
影响版本
SaltStack < 3002.1
SaltStack < 3001.3
SaltStack < 3000.5
SaltStack < 2019.2.7
修复建议
1. 将SaltStack升级到最新版本
https://repo.saltstack.com/
2. 如不方便升级�,,可从官方下载对应版本的修复补��:
https://gitlab.com/saltstack/open/salt-patches
参考链接
[1]https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
北京234钱包网络技术有限公司
2020/11/04