了解金山云最新公告
2021-02-26 00:00:00
2月26日,金山云安全應(yīng)急響應(yīng)中心監(jiān)測到SaltStack官方發(fā)布安全更新,修復(fù)了多個高危漏洞。本次更新的漏洞影響廣泛,建議廣大SaltStack用戶及時升級到最新版本,避免遭受惡意攻擊。
漏洞描述
CVE-2021-3197命令注入漏洞:
該漏洞評級為高危。由于Salt-API SSH 客戶端過濾不嚴,攻擊者可通過ProxyCommand等參數(shù)造成命令執(zhí)行。
CVE-2021-25281未授權(quán)訪問漏洞:
該漏洞評級為高危。該漏洞源于salt-api未校驗wheel_async客戶端的eauth憑據(jù),攻擊者可遠程調(diào)用master上任意wheel模塊。
CVE-2021-25283 SaltAPI 模板注入漏洞:
該漏洞評級為高危。由于 wheel.pillar_roots.write 存在目錄遍歷,攻擊者可構(gòu)造惡意請求,造成jinja模板注入,執(zhí)行任意代碼。
影響版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
修復(fù)建議
將SaltStack升級到最新版本
參考鏈接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
北京金山云網(wǎng)絡(luò)技術(shù)有限公司
2021/02/26