該漏洞具體描述
Salt(又稱為SaltStack),一種全新的基礎設施管理方式,部署輕松,在幾分鐘內可運行起來,擴展性好,很容易管理上萬臺服務器,速度夠快,服務器之間秒級通訊,
國外某安全團隊披露了SaltStack存在認證繞過導致命令執行漏洞以及目錄遍歷漏洞,
在認證繞過漏洞中,攻擊者通過構造惡意請求,可以繞過Salt Master的驗證邏輯,呼叫相關未授權函式功能,造成遠程命令執行漏洞,從而獲取主服務器及其管理的所有服務器的root權限,危害嚴重,
在目錄遍歷漏洞中,攻擊者通過構造惡意請求,讀取服務器上任意檔案,
漏洞編號
CVE-2020-11651
CVE-2020-11652
風險等級
高危
影響版本
SaltStack < 2019.2.4
SaltStack < 3000.2
漏洞解決建議
1、官方已發布補丁更新,建議更新至安全版本及其以上;
2、將Salt Master默認監聽埠(默認4505 和 4506)設定為僅對可信物件開放,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/249865.html
標籤:其他
下一篇:API安全測驗方法論