【风险公告】SaltStack多个高危缝隙
2021-02-26 00:00:00
2月26日�,�,�,234钱包安全应急响应中心监测到SaltStack官方颁布安全更新�,�,�,修复了多个高危缝隙�。�。本次更新的缝隙影响宽泛�,�,�,建议宽大SaltStack用户实时升级到最新版本�,�,�,预防遭逢恶意攻击�。�。
缝隙描述
CVE-2021-3197号令注入缝隙�:
该缝隙评级为高危�。�。由于Salt-API SSH 客户端过滤不严�,�,�,攻击者可通过ProxyCommand等参数造成号令执行�。�。
CVE-2021-25281未授权接见缝隙�:
该缝隙评级为高危�。�。该缝隙源于salt-api未校验wheel_async客户端的eauth痛处�,�,�,攻击者可远程挪用master上肆意wheel�?�?�?�。�。
CVE-2021-25283 SaltAPI 模板注入缝隙�:
该缝隙评级为高危�。�。由于 wheel.pillar_roots.write 存在目录遍历�,�,�,攻击者可机关恶意要求�,�,�,造成jinja模板注入�,�,�,执行肆意代码�。�。
影响版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
修复建议
将SaltStack升级到最新版本
https://repo.saltstack.com/
参考链接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
北京234钱包网络技术有限公司
2021/02/26