安全预警 - 涉及米乐m6 部分产品的SaltStack多个漏洞安全更新

产品安全 > 安全预警

安全预警 - 涉及米乐m6 部分产品的SaltStack多个漏洞安全更新

预警编号：INSPUR-SA-202103-001

初始发布时间：2021-03-23 09:08:03

更新发布时间：2021-03-23 09:08:03

漏洞来源：由外国人某可靠团体公开透明透露

漏洞影响：

打击者完成借助综上所述系统漏洞可满足未软件授权造访、远战二维码继续执行。

BUG描素：

CVE-2021-25281
salt-api未校验wheel_async客户端的eauth凭据，受此漏洞影响攻击者可远程调用master上任意wheel模块。
CVE-2021-25282
salt.wheel.pillar_roots.write 方法存在目录穿越漏洞。
CVE-2021-25283
内置Jinja渲染引擎存在SSTI（Server Side Template Injection，服务端模板注入）漏洞。
CVE-2021-25284
webutils将明文密码写入/var/log/salt/minionSalt。默认配置中不存在此问题。
CVE-2021-3197
Salt-API的SSH客户端容易受到Shell注入的攻击，方法是在参数中包含ProxyCommand或通过API请求中提供的ssh_options。此模块在默认情况下未运行。
CVE-2021-3148
salt.utils.thin.gen_thin() 中存在命令注入。通过SaltAPI，从格式化的字符串构造命令，如果 extra_mods 中有单引号，则可以将命令截断，因为json.dumps() 会转义双引号，同时保持单引号不变。
CVE-2020-35662
默认情况下，Salt存在不验证SSL证书的几个地方。
CVE-2021-3144
eauth令牌在过期后仍可以使用一次。
CVE-2020-28972
缺少对SSL证书的验证，代码库无法验证服务器的SSL/TLS证书，这可能使攻击者可以通过中间人攻击获取敏感信息。
CVE-2020-28243
Minion中的﷽本地特权提升漏洞，当无特权的用户能够通过进程名称中的命令注入而能够在任何未列入黑名单的目录中创建文件时，SaltStack的Min⭕ion可以进行特权升级。

CVSS计分：

CVE	V3.1 Vector(Base)	Base Score	V3.1 Vector(Temporal Score)	Temporal Score
CVE-2021-25281	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2021-25282	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H	9.1	E:P/RL:O/RC:C	8.2
CVE-2021-25283	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2021-25284	AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N	4.4	E:U/RL:O/RC:C	3.9
CVE-2021-3197	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5
CVE-2021-3148	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5
CVE-2020-35662	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N	7.4	E:U/RL:O/RC:C	6.4
CVE-2021-3144	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H	9.1	E:U/RL:O/RC:C	7.9
CVE-2020-28972	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N	5.9	E:U/RL:O/RC:C	5.2
CVE-2020-28243	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H	7.8	E:U/RL:O/RC:C	6.8

受影响力设备：

产品名称	受影响产品版本	修复补丁包/升级包版本
AS13000	3.6.3.9	3.6.3.9:Salt-2015.8-AS13000--3.6.3.9-update.zip
AS13000	3.6.3.9-SP1
AS13000	3.6.3.9-SP2
AS13000	3.6.3.9-SP3
AS13000	3.6.3.9-SP4
AS13000	3.6.3.9-SP5
AS13000	3.4.3.7	3.4.3.6/7: salt-centos6-2015.8-AS13000-3.4.3.7-update.zip

技木环节：打击者采用组装CVE-2021-25281、CVE-2021-25282、CVE-2021-25283打击，需要到达暂时无法扫码登录改变远程控制命令提示符施行的结果。漏洞补丁克服预案：

请用户直接联系客户服务人员或发送邮件至sun.meng@fzjzl.com，获取补丁，以及相关的技术协助。
说明：升级补丁包对存储业务无影响

FAQ：无升级记录表： 20210323-V1.0-Initial Release 米乐m6 防护紧急救援卡死对外经济服务保障：

米乐m6 一贯主张尽全力保障产品用户的最终利益，遵循负责任的安全事件披露原则，并通过产品安全问题处理机制处理产品安全问题。

反馈米乐m6 产品安全问题： //fzjzl.com/lcjtww/psirt/vulnerability-management/i𒅌ndex.html#report_ldbg

订阅米乐m6 产品安全信息：

获取技术支持：//fzjzl.com/lcjtww/2317452/23174🍷56/2317460/index.ht𒆙ml

申明

选文档给出的所有的数据库和数据仅作分类，且"按原样"给出，不保证书其他释明、默示和法定假期的信用保障，主要以及(但不受到限制)对适销性、适宜性及不图片侵权的信用保障。在其他状况下，米乐m6 或其可以或接间地掌握的子新公司，或其提供商，均有误其他每方因依赖关系或选用本数据而面临的其他毁损承担的起担责，主要以及可以，接间地，有时候，根本的商家成本毁损或特定毁损。米乐m6 删去会随时改换或提升该文档的劳动权。