针对SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)漏洞的预警通报
发布时间:
2020-05-07
文章来源:
作者
发布人:
wlaq
浏览次数:

发布时间:2020-05-07文章来源:网络与信息中心作者: 发布人:wlaq 浏览次数:127

【漏洞描述】 


SaltStack是基于Python开发的一套C/S架构配置管理工具,是一个服务器基础架构集中化管理平台,具备配置管理、远程执行、监控等功能,基于Python语言实现,结合轻量级消息队列(ZeroMQ)与Python第三方模块(Pyzmq、PyCrypto、Pyjinjia2、python-msgpack和PyYAML等)构建。


通过部署SaltStack,运维人员可以在成千万台服务器上做到批量执行命令,根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。


近日,国外某安全团队披露了SaltStack存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。


在CVE-2020-11651认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过Salt Master的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞。在CVE-2020-11652目录遍历漏洞中,攻击者通过构造恶意请求,读取服务器上任意文件。


SaltStack用户尽快采取安全措施阻止漏洞攻击。


【影响版本】


SaltStack < 2019.2.4

SaltStack < 3000.2


【安全版本】


2019.2.4

3000.2


【修复方案】 


1. 将SaltStack升级至安全版本以上,并持续保持更新,升级前建议做好快照备份,网址https://repo.saltstack.com。

2. 将Salt Master默认监听端口(默认4505 和 4506)设置为禁止对公网开放,并且仅对可信对象开放。


引用自“腾讯安全”:https://s.tencent.com/research/report/975.html


Copyright 2013 中国海洋大学网络与信息中心
电话:0532-66782160
邮箱:wlzx@ouc.edu.cn
地址:青岛市松岭路238号,中国海洋大学 图书馆B楼
邮编:266000