【漏洞报送】SaltStack RCE等高危漏洞报送

admin 2020年11月5日16:00:50评论68 views字数 610阅读2分2秒阅读模式




漏 洞 报 送




【漏洞报送】SaltStack RCE等高危漏洞报送



  


漏洞描述

近日,SaltStack官方发布安全通告修复了以下3个高危漏洞:

CVE-2020-16846:未经身份验证的攻击者通过构造恶意请求,利用Shell注入(shell injection)获取SSH连接,从而在Salt-API上执行任意命令。

CVE-2020-17490:本地攻击者用低权限用户登录 salt 主机,可以从当前 salt 程序主机上读取到密钥内容,导致信息泄漏。

CVE-2020-25592:Salt中的eauth和ACL功能存在认证绕过漏洞,攻击者可以通过salt-api绕过身份验证,从而利用salt ssh连接目标主机。



漏洞详情
漏洞编号: 
CVE-2020-16846
CVE-2020-17490
CVE-2020-25592

漏洞等级:高危


影响版本

SaltStack = 2015

SaltStack = 2016

SaltStack = 2017

SaltStack = 2018

SaltStack = 2019

SaltStack = 3000

SaltStack = 3001

SaltStack = 3002



修复建议
 目前SaltStack官方已经发布新版本修复了以上漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://repo.saltstack.com


相关链接
https://repo.saltstack.com

end



【漏洞报送】SaltStack RCE等高危漏洞报送









本文始发于微信公众号(雷石安全实验室):【漏洞报送】SaltStack RCE等高危漏洞报送

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年11月5日16:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【漏洞报送】SaltStack RCE等高危漏洞报送http://cn-sec.com/archives/178991.html

发表评论

匿名网友 填写信息