了解金山云最新公告
2021-02-26 00:00:00
2月26日,金山云安全应急响应中心监测到SaltStack官方发布安全更新,修复了多个高危漏洞。本次更新的漏洞影响广泛,建议广大SaltStack用户及时升级到最新版本,避免遭受恶意攻击。
漏洞描述
CVE-2021-3197命令注入漏洞:
该漏洞评级为高危。由于Salt-API SSH 客户端过滤不严,攻击者可通过ProxyCommand等参数造成命令执行。
CVE-2021-25281未授权访问漏洞:
该漏洞评级为高危。该漏洞源于salt-api未校验wheel_async客户端的eauth凭据,攻击者可远程调用master上任意wheel模块。
CVE-2021-25283 SaltAPI 模板注入漏洞:
该漏洞评级为高危。由于 wheel.pillar_roots.write 存在目录遍历,攻击者可构造恶意请求,造成jinja模板注入,执行任意代码。
影响版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
修复建议
将SaltStack升级到最新版本
参考链接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
北京金山云网络技术有限公司
2021/02/26
