无码一区二区三区,亚洲精品久久久久久一区二区,好吊视频一区二区三区,亚洲精品一区中文字幕乱码

官方公告

了解金山云最新公告

公告 > 安全公告 > 【風(fēng)險通告】SaltStack 多個高危漏洞
【風(fēng)險通告】SaltStack 多個高危漏洞

2020-11-04 00:00:00

11月4日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到SaltStack官方發(fā)布安全更新,修復(fù)了包括CVE-2020-16846 遠(yuǎn)程命令執(zhí)行漏洞、CVE-2020-25592 認(rèn)證繞過在內(nèi)的多個高危漏洞。


SaltStack應(yīng)用廣泛且此次修復(fù)的漏洞危害嚴(yán)重,請相關(guān)用戶盡快將SaltStack升級到最新版本,避免遭受惡意攻擊。



風(fēng)險等級


嚴(yán)重



漏洞描述


l CVE-2020-16846命令行執(zhí)行漏洞

未經(jīng)身份驗證的攻擊者可以構(gòu)造惡意請求,可通過操作Stack API注入SSH連接命令,導(dǎo)致命令執(zhí)行。


l CVE-2020-25592: 驗證繞過漏洞

Salt在驗證eauth憑據(jù)和訪問控制列表ACL時存在一處驗證繞過漏洞。遠(yuǎn)程攻擊者發(fā)送特制的請求包,可以通過salt-api繞過身份驗證,直接執(zhí)行SSH命令,從而控制服務(wù)器。



影響版本


SaltStack < 3002.1

SaltStack < 3001.3

SaltStack < 3000.5

SaltStack < 2019.2.7


修復(fù)建議


1. 將SaltStack升級到最新版本

https://repo.saltstack.com/


2. 如不方便升級,可從官方下載對應(yīng)版本的修復(fù)補?。?/p>

https://gitlab.com/saltstack/open/salt-patches




參考鏈接


[1]https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/




北京金山云網(wǎng)絡(luò)技術(shù)有限公司

2020/11/04


宜君县| 剑川县| 承德县| 寿阳县| 秦皇岛市| 华安县| 元阳县| 龙胜| 和平区| 普安县| 中阳县| 五常市| 新竹县| 东光县| 乐都县| 马公市| 临武县| 山西省| 丹阳市| 洛南县| 罗平县| 舟曲县| 望城县| 景德镇市| 旬邑县| 乌兰县| 海伦市| 自贡市| 邵阳市| 芜湖市| 信丰县| 临颍县| 廉江市| 洪雅县| 长顺县| 太保市| 乌鲁木齐市| 顺昌县| 绥棱县| 千阳县| 金秀|