【風(fēng)險通告】SaltStack多個高危漏洞
2021-02-26 00:00:00
2月26日��,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到SaltStack官方發(fā)布安全更新�����,修復(fù)了多個高危漏洞�����。本次更新的漏洞影響廣泛�����,建議廣大SaltStack用戶及時升級到最新版本�����,避免遭受惡意攻擊����。
漏洞描述
CVE-2021-3197命令注入漏洞:
該漏洞評級為高危。由于Salt-API SSH 客戶端過濾不嚴�,攻擊者可通過ProxyCommand等參數(shù)造成命令執(zhí)行。
CVE-2021-25281未授權(quán)訪問漏洞:
該漏洞評級為高危�。該漏洞源于salt-api未校驗wheel_async客戶端的eauth憑據(jù),攻擊者可遠程調(diào)用master上任意wheel模塊�����。
CVE-2021-25283 SaltAPI 模板注入漏洞:
該漏洞評級為高危����。由于 wheel.pillar_roots.write 存在目錄遍歷,攻擊者可構(gòu)造惡意請求�,造成jinja模板注入,執(zhí)行任意代碼�����。
影響版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
修復(fù)建議
將SaltStack升級到最新版本
https://repo.saltstack.com/
參考鏈接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/26