【误差通告】SaltStack多个高危误差通告

2020-11-04

一. 误差概述

克日，AG公司科技监测到SaltStack官方宣布清静通告修复了以下3个高危误差，

CVE-2020-16846：未经身份验证的攻击者通过结构恶意请求，使用Shell注入(shell injection)获取SSH毗连，从而在Salt-API上执行恣意下令。

CVE-2020-17490：外地攻击者用低权限用户登录 salt 主机，可以从目今 salt 程序主机上读取到密钥内容，导致信息走漏。

CVE-2020-25592：Salt中的eauth和ACL功效保存认证绕过误差，攻击者可以通过salt-api绕过身份验证，从而使用salt ssh毗连目的主机。

SaltStack是一款开源自动化运维工具。具备设置治理、远程执行、监控等功效，运维职员通过安排SaltStack，可在多台服务器上批量执行下令。其具备功效强盛，无邪性强的特点，应用普遍。请相关用户尽快接纳步伐举行防护。

参考链接：

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves

二. 影响规模

受影响版本

SaltStack = 2015

SaltStack = 2016

SaltStack = 2017

SaltStack = 2018

SaltStack = 2019

SaltStack = 3000

SaltStack = 3001

SaltStack = 3002

不受影响版本

SaltStack >= 3002.1

SaltStack >= 3001.3

SaltStack >= 3000.5

SaltStack >= 2019.2.7

三. 误差检测

3.1 版本检测

相关用户可通过下列下令审查目今SaltStack版本，以判断是否在受影响规模内。

salt --versions-report

四. 误差防护

4.1 官方升级

现在SaltStack官方已经宣布新版本修复了以上误差，请受影响的用户尽快升级版本举行防护，官方下载链接：https://repo.saltstack.com

4.2 修复补丁

若相关用户暂时无法举行升级操作，也可装置官方为以下版本提供的修补程序举行防护：

影响版本	清静补丁链接
SaltStack 2015.8.10、2015.8.13	https://gitlab.com/saltstack/open/salt-patches
SaltStack 2016.3.4、2016.3.6、2016.3.8
SaltStack 2016.11.3、2016.11.6、2016.11.10
SaltStack 2017.7.4、2017.7.8
SaltStack 2018.3.5
SaltStack 2019.2.5、2019.2.6
SaltStack 3000.3、3000.4
SaltStack 3001.1、3001.2
SaltStack 3002