技术学堂
Saltstack是基于Python开发的一套C/S架构配置管理工具(服务器端Master/客户端Minion),最主要的功能是配置管理与远程执行,同时还是一个云计算与数据中心架构编排的利器。
| 编号 | CVE-2021-3197 CVE-2021-25281 CVE-2021-25283 |
日期 | 2021-02-26 |
| 特征 | 模板注入漏洞 未授权访问漏洞 命令执行漏洞 |
等级 | 高危 高危 高危 |
| 描述 | CVE-2021-25283 SaltAPI模板注入漏洞 由于wheel.pillar_roots.write存在目录遍历,攻击者可构造恶意请求,造成jinja模板注入,执行任意代码。 CVE-2021-25281 SaltAPI wheel_async未授权访问漏洞 攻击者可构造恶意请求,通过wheel_async调用master的wheel插件。 CVE-2021-3197 SaltAPI SSH命令注入 由于Salt-API SSH客户端过滤不严,攻击者可通过ProxyCommand等参数造成命令执行。 |
||
| 影响 | SaltStack < 3002.5 SaltStack < 3001.6 SaltStack < 3000.8 |
||
解决方案
方案一
升级至安全版本及其以上,升级前建议做好快照备份措施,安全版本下载地址。
SaltStack >= 3002.5
SaltStack >= 3001.6
SaltStack >= 3000.8
方案二
设置SaltStack为自动更新,及时获取相应补丁。
原创文章禁止转载:技术学堂 » SaltStack未授权访问等多个高危漏洞(CVE-2021-3197)
Apache Dubbo命令执行漏洞(CNVD-2021-44687)
锐捷网络EWEB网管系统命令执行漏洞(CNVD-2021-40747)
SaltStack Salt Shell/命令注入漏洞(CVE-2021-3148)
Memcached未授权访问漏洞处理方法
Oracle WebLogic 输入验证错误漏洞(CVE-2022-21306)
多款VMware产品身份验证绕过漏洞(CVE-2022-22972)
OpenSSL远程代码执行漏洞(CVE-2022-1292)
Windows Active Directory权限提升漏洞(CVE-2022-26923)
