首页 > 清静研究 > 清静转达 > 清静通告

SaltStack | REC误差通告

宣布时间 2020-05-03

0x00 误差概述

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

SaltStack Salt（又名SaltStack）是美国SaltStack公司的一套开源的用于治理基础架构的工具。。。

CVE-2020-11651是认证绕过误差。。。该误差源于Salt Master历程中ClearFuncs类无法准确实现要领挪用，，，，，，导致攻击者可以结构恶意请求，，，，，，绕过Salt Master的验证逻辑，，，，，，挪用相关未授权函数功效，，，，，，造成远程下令执行。。。

CVE-2020-11652是目录遍历误差。。。该误差源于Salt Master历程中ClearFuncs类允许会见某些不准确的sanitize paths要领。。。这些要领允许经由身份验证的用户举行恣意目录会见。。。导致攻击者可以结构恶意请求，，，，，，读取效劳器上恣意文件，，，，，，并获取系统敏感信息。。。

用户可运行salt—version 确认SaltStack的版本是否有影响，，，，，，扫描互联网发明现在有6000个可果真会见的SaltStack，，，，，，同时发明使用该误差的攻击行为，，，，，，建议用户实时修复。。。

0x02 处置惩罚建议

● 升级到最新版本，，，，，，升级前建议做好备份；；；；；

● 可设置SaltStack为自动更新；；；；；

● 防火墙上设置阻断SaltStack效劳的4505和4506端口。。。

0x03 相关新闻

https://www.securityweek.com/critical-vulnerability-salt-requires-immediate-patching

0x04 参考链接

https://github.com/saltstack/salt/blob/v3000.2_docs/doc/topics/releases/3000.2.rst

https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html

https://labs.f-secure.com/advisories/saltstack-authorization-bypass

https://www.suse.com/support/kb/doc/?id=000019619

0x05 时间线

2020-05-03 VSRC宣布误差通告

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

SaltStack | REC误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线