更多 选择语言
安全预警 - 涉及浪潮部分产品的SaltStack多个漏洞安全更新
预警编号:INSPUR-SA-202103-001
初始发布时间:2021-03-23 09:08:03
更新发布时间:2021-03-23 09:08:03
漏洞来源:

由国外某安全团队公开披露

漏洞影响:

攻击者成功利用上述漏洞可实现未授权访问、远程代码执行。

漏洞描述:

CVE-2021-25281
salt-api未校验wheel_async客户端的eauth凭据,受此漏洞影响攻击者可远程调用master上任意wheel模块。
CVE-2021-25282
salt.wheel.pillar_roots.write 方法存在目录穿越漏洞。
CVE-2021-25283
内置Jinja渲染引擎存在SSTI(Server Side Template Injection,服务端模板注入)漏洞。
CVE-2021-25284
webutils将明文密码写入/var/log/salt/minionSalt。默认配置中不存在此问题。
CVE-2021-3197
Salt-API的SSH客户端容易受到Shell注入的攻击,方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。此模块在默认情况下未运行。
CVE-2021-3148
salt.utils.thin.gen_thin() 中存在命令注入。通过SaltAPI,从格式化的字符串构造命令,如果 extra_mods 中有单引号,则可以将命令截断,因为json.dumps() 会转义双引号,同时保持单引号不变。
CVE-2020-35662
默认情况下,Salt存在不验证SSL证书的几个地方。
CVE-2021-3144
eauth令牌在过期后仍可以使用一次。
CVE-2020-28972
缺少对SSL证书的验证,代码库无法验证服务器的SSL/TLS证书,这可能使攻击者可以通过中间人攻击获取敏感信息。
CVE-2020-28243
Minion中的本地特权提升漏洞,当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时,SaltStack的Minion可以进行特权升级。

CVSS评分:

CVE V3.1 Vector(Base) Base Score V3.1 Vector(Temporal Score) Temporal Score
CVE-2021-25281 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9.8 E:P/RL:O/RC:C 8.8
CVE-2021-25282 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H 9.1 E:P/RL:O/RC:C 8.2
CVE-2021-25283 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9.8 E:P/RL:O/RC:C 8.8
CVE-2021-25284 AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N 4.4 E:U/RL:O/RC:C 3.9
CVE-2021-3197 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9.8 E:U/RL:O/RC:C 8.5
CVE-2021-3148 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 9.8 E:U/RL:O/RC:C 8.5
CVE-2020-35662 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N 7.4 E:U/RL:O/RC:C 6.4
CVE-2021-3144 AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H 9.1 E:U/RL:O/RC:C 7.9
CVE-2020-28972 AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N 5.9 E:U/RL:O/RC:C 5.2
CVE-2020-28243 AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 7.8 E:U/RL:O/RC:C 6.8

受影响产品:

产品名称 受影响产品版本 修复补丁包/升级包版本
AS13000 3.6.3.9 3.6.3.9:Salt-2015.8-AS13000--3.6.3.9-update.zip
AS13000 3.6.3.9-SP1
AS13000 3.6.3.9-SP2
AS13000 3.6.3.9-SP3
AS13000 3.6.3.9-SP4
AS13000 3.6.3.9-SP5
AS13000 3.4.3.7 3.4.3.6/7: salt-centos6-2015.8-AS13000-3.4.3.7-update.zip

技术细节:

攻击者通过组合CVE-2021-25281、CVE-2021-25282、CVE-2021-25283攻击,可以达到无需登录实现远程命令执行的效果。

漏洞解决方案:

请用户直接联系客户服务人员或发送邮件至sun.meng@inspur.com,获取补丁,以及相关的技术协助。
说明:升级补丁包对存储业务无影响

FAQ:

更新记录:

20210323-V1.0-Initial Release

浪潮安全应急响应对外服务:
浪潮一贯主张尽全力保障产品用户的最终利益,遵循负责任的安全事件披露原则,并通过产品安全问题处理机制处理产品安全问题。
反馈浪潮产品安全问题: https://www.inspur.com/lcjtww/psirt/vulnerability-management/index.html#report_ldbg
订阅浪潮产品安全信息: https://en.inspur.com/en/security_bulletins/vulnerability_subscription/index.html

获取技术支持:https://www.inspur.com/lcjtww/2317452/2317456/2317460/index.html

声明

本文档提供的所有数据和信息仅供参考,且"按原样"提供,不承诺任何明示、默示和法定的担保,包括(但不限于)对适销性、适用性及不侵权的担保。在任何情况下,浪潮或其直接或间接控制的子公司,或其供应商,均不对任何一方因依赖或使用本信息而遭受的任何损失承担责任,包括直接,间接,偶然,必然的商业利润损失或特殊损失。浪潮保留随时更改或更新此文档的权利。


线




×
联系我们
服务器、存储、网络产品购买热线
400-860-6708
ERP、管理软件购买热线
400-018-7700
云服务产品销售热线
400-607-6657