声明: 近日网络披露的 SaltStack 远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)对 XABC 的小矩阵运维管控平台无影响
我们向来秉持最小开放策略,默认的防火墙策略不会把应该内网使用的端口暴露在公网
总控机器 Central 调度管控各个独立节点的管控机器 Master
管控机器 Master 调度管控本地网络区域的业务机器 Minion
所以我们部署系统默认生成的防火墙,总控机器[4505,4506]端口只允许来自各个 Master 机器源 IP,各个 Master 机器[4505,4506]端口只对私有网络开放
IP:
CIDR-SYS:
- 10.0.0.0/8
- 100.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
当然网络层面的限制非常关键,而 SaltStack 本身漏洞也需要修复,根据我们的统计数据,目前大部分客户版本集中在 2019.2.0, 我们将分批次沟通关于此次 Salt-Master 版本升级到 2019.2.4 的工作,同时也将更新本地 SaltStack 私有源更新到 2019.2.4 版本,多说一句因为 SaltStack 3000 版本更新比较大,涉及一些 API 本身调用更新,所以我们还没有大规模的推送 SaltStack 3000 版本的更新
原文始发于微信公众号(糖果的实验室):SaltStack 远程命令执行漏洞(CVE-2020-11651、CVE-2020)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论