SaltStack Minion 命令注入漏洞
  • CNNVD編號(hào):未知
  • 危害等級(jí): 中危 
  • CVE編號(hào):CVE-2021-31607
  • 漏洞類(lèi)型: 命令注入
  • 威脅類(lèi)型:本地
  • 廠       商:未知
  • 漏洞來(lái)源:深信服
  • 發(fā)布時(shí)間:2021-05-10
  • 更新時(shí)間:2021-05-10

漏洞簡(jiǎn)介

1、組件介紹

Salt基于python構(gòu)建,使用簡(jiǎn)單易讀的YAML與事件驅(qū)動(dòng)的自動(dòng)化相結(jié)合來(lái)部署和配置復(fù)雜的IT系統(tǒng)。Salt不僅應(yīng)用于vRealize Automation SaltStack Config升級(jí),還可以應(yīng)用在Juniper,Cisco,Cloudflare,Nutanix,SUSE和Tieto等產(chǎn)品。

2、漏洞描述

2021年4月28日,深信服安全團(tuán)隊(duì)監(jiān)測(cè)到一則Salt組件存在 SaltStack Minion 命令注入漏洞的信息,漏洞編號(hào):CVE-2021-31607,漏洞威脅等級(jí):中危。

該漏洞是由于在SaltStack Salt 2016.9至3002.6中,快照程序模塊中存在一個(gè)命令注入漏洞,攻擊者可利用該漏洞獲得權(quán)限的情況下,對(duì)一個(gè)分支系統(tǒng)的本地特權(quán)進(jìn)行升級(jí)。

漏洞公示

暫無(wú)

參考網(wǎng)站

暫無(wú)

受影響實(shí)體

SaltStack Salt是一種全新的基礎(chǔ)設(shè)施管理方式,部署輕松,在幾分鐘內(nèi)可運(yùn)行起來(lái),擴(kuò)展性好,很容易管理上萬(wàn)臺(tái)服務(wù)器,速度夠快,服務(wù)器之間秒級(jí)通訊。全球有數(shù)十萬(wàn)資產(chǎn),可能受漏洞影響的資產(chǎn)廣泛分布于世界各地,中國(guó)存在資產(chǎn)3萬(wàn)多,主要分布在廣東、山東、北京、上海等省市。


目前受影響的SaltStack 版本:

2016.9 < SaltStack < 3002.6

補(bǔ)丁

1、官方修復(fù)建議

當(dāng)前官方已發(fā)布最新版本,建議受影響的用戶(hù)及時(shí)更新升級(jí)到最新版本。鏈接如下:

https://repo.saltproject.io/index.html

2 、深信服解決方案

【深信服安全云眼】在漏洞爆發(fā)之初,已完成檢測(cè)更新,對(duì)所有用戶(hù)網(wǎng)站探測(cè),保障用戶(hù)安全。不清楚自身業(yè)務(wù)是否存在漏洞的用戶(hù),可注冊(cè)信服云眼賬號(hào),獲取30天免費(fèi)安全體驗(yàn)。

注冊(cè)地址:http://saas.sangfor.com.cn

【深信服云鏡】在漏洞爆發(fā)第一時(shí)間即完成檢測(cè)能力的發(fā)布,部署了云鏡的用戶(hù)可以通過(guò)升級(jí)來(lái)快速檢測(cè)網(wǎng)絡(luò)中是否受該高危風(fēng)險(xiǎn)影響,避免被攻擊者利用。離線使用云鏡的用戶(hù)需要下載離線更新包來(lái)獲得漏洞檢測(cè)能力,可以連接云端升級(jí)的用戶(hù)可自動(dòng)獲得漏洞檢測(cè)能力。