【風(fēng)險(xiǎn)通告】SaltStack多個(gè)高危漏洞
2021-02-26 00:00:00
2月26日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測(cè)到SaltStack官方發(fā)布安全更新�,修復(fù)了多個(gè)高危漏洞。本次更新的漏洞影響廣泛�����,建議廣大SaltStack用戶及時(shí)升級(jí)到最新版本��,避免遭受惡意攻擊�。
漏洞描述
CVE-2021-3197命令注入漏洞:
該漏洞評(píng)級(jí)為高危。由于Salt-API SSH 客戶端過濾不嚴(yán)��,攻擊者可通過ProxyCommand等參數(shù)造成命令執(zhí)行�。
CVE-2021-25281未授權(quán)訪問漏洞:
該漏洞評(píng)級(jí)為高危。該漏洞源于salt-api未校驗(yàn)wheel_async客戶端的eauth憑據(jù)��,攻擊者可遠(yuǎn)程調(diào)用master上任意wheel模塊��。
CVE-2021-25283 SaltAPI 模板注入漏洞:
該漏洞評(píng)級(jí)為高危�。由于 wheel.pillar_roots.write 存在目錄遍歷,攻擊者可構(gòu)造惡意請(qǐng)求,造成jinja模板注入����,執(zhí)行任意代碼。
影響版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
修復(fù)建議
將SaltStack升級(jí)到最新版本
https://repo.saltstack.com/
參考鏈接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/26