91百色国产视频|亚洲欧美伦理中文字幕在线|亚洲中文乱码在线|天堂影音av在线|国产激情人妻熟女|AV无码高清在线|超碰在线免费观看操|亚洲va中文字幕|欧美极品性爱四区|国产精品二区在线观看

11月4日，金山云安全應急響應中心監(jiān)測到SaltStack官方發(fā)布安全更新，修復了包括CVE-2020-16846 遠程命令執(zhí)行漏洞、CVE-2020-25592 認證繞過在內的多個高危漏洞。

SaltStack應用廣泛且此次修復的漏洞危害嚴重，請相關用戶盡快將SaltStack升級到最新版本，避免遭受惡意攻擊。

風險等級

嚴重

漏洞描述

l CVE-2020-16846命令行執(zhí)行漏洞

未經(jīng)身份驗證的攻擊者可以構造惡意請求，可通過操作Stack API注入SSH連接命令，導致命令執(zhí)行。

l CVE-2020-25592: 驗證繞過漏洞

Salt在驗證eauth憑據(jù)和訪問控制列表ACL時存在一處驗證繞過漏洞。遠程攻擊者發(fā)送特制的請求包，可以通過salt-api繞過身份驗證，直接執(zhí)行SSH命令，從而控制服務器。

影響版本

SaltStack < 3002.1

SaltStack < 3001.3

SaltStack < 3000.5

SaltStack < 2019.2.7

修復建議

1. 將SaltStack升級到最新版本

https://repo.saltstack.com/

2. 如不方便升級，可從官方下載對應版本的修復補丁：

https://gitlab.com/saltstack/open/salt-patches

參考鏈接

[1]https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

北京金山云網(wǎng)絡技術有限公司

2020/11/04