【風(fēng)險(xiǎn)通告】SaltStack多個(gè)高危漏洞
2021-02-26 00:00:00
2月26日����,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到SaltStack官方發(fā)布安全更新,修復(fù)了多個(gè)高危漏洞��。本次更新的漏洞影響廣泛���,建議廣大SaltStack用戶及時(shí)升級到最新版本����,避免遭受惡意攻擊���。
漏洞描述
CVE-2021-3197命令注入漏洞:
該漏洞評級為高危��。由于Salt-API SSH 客戶端過濾不嚴(yán)�����,攻擊者可通過ProxyCommand等參數(shù)造成命令執(zhí)行����。
CVE-2021-25281未授權(quán)訪問漏洞:
該漏洞評級為高危����。該漏洞源于salt-api未校驗(yàn)wheel_async客戶端的eauth憑據(jù)���,攻擊者可遠(yuǎn)程調(diào)用master上任意wheel模塊。
CVE-2021-25283 SaltAPI 模板注入漏洞:
該漏洞評級為高危��。由于 wheel.pillar_roots.write 存在目錄遍歷�����,攻擊者可構(gòu)造惡意請求����,造成jinja模板注入�,執(zhí)行任意代碼。
影響版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
修復(fù)建議
將SaltStack升級到最新版本
https://repo.saltstack.com/
參考鏈接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/26