【風險通告】SaltStack多個高危漏洞
2021-02-26 00:00:00
2月26日��,金山云安全應急響應中心監(jiān)測到SaltStack官方發(fā)布安全更新�����,修復了多個高危漏洞�。本次更新的漏洞影響廣泛,建議廣大SaltStack用戶及時升級到最新版本���,避免遭受惡意攻擊��。
漏洞描述
CVE-2021-3197命令注入漏洞:
該漏洞評級為高危�。由于Salt-API SSH 客戶端過濾不嚴����,攻擊者可通過ProxyCommand等參數(shù)造成命令執(zhí)行。
CVE-2021-25281未授權(quán)訪問漏洞:
該漏洞評級為高危�����。該漏洞源于salt-api未校驗wheel_async客戶端的eauth憑據(jù),攻擊者可遠程調(diào)用master上任意wheel模塊�����。
CVE-2021-25283 SaltAPI 模板注入漏洞:
該漏洞評級為高危�。由于 wheel.pillar_roots.write 存在目錄遍歷,攻擊者可構(gòu)造惡意請求��,造成jinja模板注入��,執(zhí)行任意代碼����。
影響版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
修復建議
將SaltStack升級到最新版本
https://repo.saltstack.com/
參考鏈接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/26