关于我们

【风险通告】SaltStack 多个高危漏洞

发布时间:2020-11-04 00:00:00

11月4日,金山云安全应急响应中心监测到SaltStack官方发布安全更新,修复了包括CVE-2020-16846 远程命令执行漏洞、CVE-2020-25592 认证绕过在内的多个高危漏洞。


SaltStack应用广泛且此次修复的漏洞危害严重,请相关用户尽快将SaltStack升级到最新版本,避免遭受恶意攻击。



风险等级


严重



漏洞描述


l CVE-2020-16846命令行执行漏洞

未经身份验证的攻击者可以构造恶意请求,可通过操作Stack API注入SSH连接命令,导致命令执行。


l CVE-2020-25592: 验证绕过漏洞

Salt在验证eauth凭据和访问控制列表ACL时存在一处验证绕过漏洞。远程攻击者发送特制的请求包,可以通过salt-api绕过身份验证,直接执行SSH命令,从而控制服务器。



影响版本


SaltStack < 3002.1

SaltStack < 3001.3

SaltStack < 3000.5

SaltStack < 2019.2.7


修复建议


1. 将SaltStack升级到最新版本

https://repo.saltstack.com/


2. 如不方便升级,可从官方下载对应版本的修复补丁:

https://gitlab.com/saltstack/open/salt-patches




参考链接


[1]https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/




北京金山云网络技术有限公司

2020/11/04


以上就是金山云为您带来的【风险通告】SaltStack 多个高危漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。

金山云,开启您的云计算之旅

免费注册