SaltStack 重大漏洞通告
最近,SaltStack 发布了一份关于其软件的安全通告,描述了其软件中存在的一个重要漏洞,该漏洞可能导致攻击者远程执行命令并控制服务器。
漏洞描述
SaltStack 是一款用于自动化配置管理、监控和批量操作服务器的软件。该软件中存在一个名为 CVE-2020-11651 的漏洞,攻击者可以利用这个漏洞通过远程代码执行指令,从而在受影响的服务器上获得 root 或其他高权限用户的权限。
漏洞影响
根据 SaltStack,任何运行 SaltStack Master 的服务器都受到了此次攻击的威胁。攻击者可以在没有认证的情况下,通过该漏洞获取到服务器内的任意文件和在服务器上执行任意命令。
解决方案
SaltStack 已经发布了相关的解决方案,请立即更新。更新的版本包括:
- Salt v3000.2
- Salt v2019.2.4
- Salt v2019.2.5
若无法立即更新,请遵循以下建议:
- 在防火墙中限制来自 Master 的所有流量,直到可以完成更新为止。
- 禁用 Master 服务,直至可以完成更新为止。
- 配置防火墙以仅允许受信任的 Master 访问。
示例
示例1:确认 SaltStack 版本
可以使用以下命令来验证运行在服务器上的 SaltStack 的版本:
salt --version
若输出的结果是以下版本之一,则说明您的系统至少受到 SaltStack 漏洞的影响之一:
- 2015.8
- 2016.3
- 2016.11
- 2017.7
- 2018.3
- 2019.2
示例2:升级 SaltStack
- 安装 SaltStack 官方 repository:
curl -fsSL https://repo.saltstack.com/py3/ubuntu/18.04/amd64/latest/SALTSTACK-GPG-KEY.pub | sudo apt-key add -
sudo echo "deb http://repo.saltstack.com/py3/ubuntu/18.04/amd64/latest bionic main" > /etc/apt/sources.list.d/saltstack.list
sudo apt-get update
- 升级 SaltStack:
sudo apt-get install salt-master salt-minion salt-ssh salt-syndic salt-cloud
需要注意的是,在升级完成后,可能需要重新启动 Master 和 Minion 服务器。
总结
由于 SaltStack 是被广泛使用的自动化配置软件,因此对于网络安全来说,此次漏洞的影响可能相当严重。因此,在收到 SaltStack 官方发布的漏洞通告之后应尽快采取措施确保自身安全。
本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:SaltStack 重大漏洞通告 - Python技术站
微信扫一扫 
支付宝扫一扫 