SaltStack远程命令执行漏洞(CVE-2020-11651/CVE-2020-11652)
近日,华为云关注到国外安全研究人员披露SaltStack存在两个严重的安全漏洞。Saltstack是基于python开发的一套C/S自动化运维工具,此次被爆当中存在身份验证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652),攻击者利用漏洞可实现远程命令执行、读取服务器上任意文件、获取敏感信息等。
华为云提醒使用SaltStack的用户尽快安排自检并做好安全加固。
漏洞编号
- CVE-2020-11651
- CVE-2020-11652
漏洞名称
SaltStack远程命令执行漏洞
影响范围
影响版本:
- 低于SaltStack 2019.2.4的版本
- 低于SaltStack 3000.2的版本
安全版本:
- SaltStack 2019.2.4
- SaltStack 3000.2
官网解决方案
- 目前官方已在最新版本中修复了这两处漏洞,请受影响的用户及时升级到安全版本。
- Salt Master默认监听端口为“4505”和“4506”,用户可通过配置安全组,禁止将其对公网开放,或仅对可信对象开放。