关于我们

【风险通告】SaltStack命令执行和目录遍历漏洞

发布时间:2020-05-03 00:00:00

2020年5月3日,金山云安全应急响应中心监控到国外安全团队发布了关于SaltStack的两个高危漏洞,命令执行漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),建议受影响用户及时安装最新补丁,采取相关防护措施,避免损失。

漏洞编号:

CVE-2020-11651

CVE-2020-11652

漏洞名称:

SaltStack命令执行和目录遍历漏洞

危害等级:

高危

漏洞描述:

CVE-2020-11651:攻击者利用该漏洞构造恶意请求,可以绕过正常的Salt Master验证逻辑,调用相关未授权函数的功能,从而实现远程命令执行。

CVE-2020-11652:攻击者利用该漏洞构造恶意请求,可以获取服务器目录结构,读取任意文件。

影响版本:

SaltStack < 2019.2.4

SaltStack < 3000.2

修复方案:

1. 升级至最新安全版本,升级前注意进行快照备份。

2. 设置Salt Master的默认监听端口(4505 和 4506)禁止对公网开放,或仅对可信IP开放。

参考链接:

https://labs.f-secure.com/advisories/saltstack-authorization-bypass


北京金山云网络技术有限公司

                                             2020/05/03


以上就是金山云为您带来的【风险通告】SaltStack命令执行和目录遍历漏洞的全部内容,如果还想了解更多内容可访问金山云官网www.ksyun.com了解其它资讯。

金山云,开启您的云计算之旅

免费注册