首页 > 清静研究 > 清静转达 > 清静通告

SaltStack | REC误差通告

宣布时间 2020-05-03

0x00 误差概述

0x01 误差详情

Z6·尊龙凯时「中国区」官方网站

SaltStack Salt（又名SaltStack）是美国SaltStack公司的一套开源的用于治理基础架构的工具。。。

CVE-2020-11651是认证绕过误差。。。该误差源于Salt Master历程中ClearFuncs类无法准确实现要领挪用，，，，，导致攻击者可以结构恶意请求，，，，，绕过Salt Master的验证逻辑，，，，，挪用相关未授权函数功效，，，，，造成远程下令执行。。。

CVE-2020-11652是目录遍历误差。。。该误差源于Salt Master历程中ClearFuncs类允许会见某些不准确的sanitize paths要领。。。这些要领允许经由身份验证的用户举行恣意目录会见。。。导致攻击者可以结构恶意请求，，，，，读取效劳器上恣意文件，，，，，并获取系统敏感信息。。。

用户可运行salt—version 确认SaltStack的版本是否有影响，，，，，扫描互联网发明现在有6000个可果真会见的SaltStack，，，，，同时发明使用该误差的攻击行为，，，，，建议用户实时修复。。。

0x02 处置惩罚建议

● 升级到最新版本，，，，，升级前建议做好备份；；；；

● 可设置SaltStack为自动更新；；；；

● 防火墙上设置阻断SaltStack效劳的4505和4506端口。。。

0x03 相关新闻

https://www.securityweek.com/critical-vulnerability-salt-requires-immediate-patching

0x04 参考链接

https://github.com/saltstack/salt/blob/v3000.2_docs/doc/topics/releases/3000.2.rst

https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html

https://labs.f-secure.com/advisories/saltstack-authorization-bypass

https://www.suse.com/support/kb/doc/?id=000019619

0x05 时间线

2020-05-03 VSRC宣布误差通告

Z6·尊龙凯时「中国区」官方网站

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

清静研究

SaltStack | REC误差通告

关于Z6尊龙凯时

解决计划

联系Z6尊龙凯时

7*24小时效劳热线