手机教育网

信息网首页|新闻|政务|考试|中招|资源|教研|博客|大赛|校园|作文|专题|录播课|视频|排行榜|网管|就业|调查|名师|班班通|E卡通
您当前的位置:首页>郑州网管>网管新闻
威胁预警 > 正文 Saltstack高危漏洞(CVE-2021-25281等)风险通告,腾讯安全全面检测
发布日期:2021-03-01 ┆ 阅读次数:555

2021年2月25日,SaltStack发布安全更新,修复了由腾讯安全云鼎实验室提交的三个安全漏洞。利用这些漏洞,最严重情形可导致未授权远程代码执行。SaltStack套件已是政企机构 IT运维管理人员常用的管理工具,该组件的高危漏洞风险极大,值得高度关注。腾讯安全专家建议Saltstack用户尽快修复漏洞,避免黑客入侵后造成严重损失。


漏洞详情:

本次披露的高危漏洞包括以下几个:

CVE-2021-25281:

salt-api未校验wheel_async客户端的eauth凭据,受此漏洞影响攻击者可远程运行master上任意wheel模块。


CVE-2021-25282:

salt.wheel.pillar_roots.write方法存在目录穿越漏洞。


CVE-2021-25283:

内置Jinja渲染引擎存在SSTI(Server Side Template Injection,服务端模板注入)漏洞。


SaltStack是基于python开发的一套C/S自动化运维工具,能够支持运维管理数万台服务器,主要功能是管理配置文件和远程执行命令,十分强大且易用。

通过部署SaltStack,运维人员可以在成千万台服务器上做到批量执行命令,根据不同业务进行配置集中化管理、分发文件、采集服务器数据、操作系统基础及软件包管理等,SaltStack是运维人员提高工作效率、规范业务配置与操作的利器。

SaltStack套件已是大量政企机构运维管理人员的配套管理工具,因而该组件的高危漏洞风险极大,值得高度关注。腾讯安全专家建议Saltstack用户尽快修复漏洞,避免黑客入侵后造成严重损失。

漏洞编号:

CVE-2021-25281

CVE-2021-25282

CVE-2021-25283

漏洞等级:高危

受影响的版本:

Saltstack 3002.2之前的所有版本

SaltStack <= 3002.2

SaltStack <= 3001.4

SaltStack <= 3000.6



安全版本:

SaltStack >= 3002.3

SaltStack >= 3001.5

SaltStack >= 3000.7

漏洞分析与验证:

腾讯安全通过研究发现,通过组合公布的漏洞,可以达到无需登录实现远程命令执行的效果。

通过发送精心构造的4个HTTP请求,即可在目标机器上执行任意命令。




网络空间测绘:

腾讯安全网络空间测绘结果显示,Saltstack组件在全球应用分布较广,美国占比最高(38.26%)、其次是中国(26.51%)、爱尔兰(6.38%)。在中国大陆地区,浙江、北京、广东、上海四省市位居前列,占比接近80%。



腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。

漏洞修复建议:

1. 将SaltStack升级到3002.3, 3001.5, and 3000.7及以上的安全版本,或升级到Saltstack的最新官方补丁,官方下载地址 https://repo.saltstack.com

2. 如果没有用到wheel_async模块,可以在salt/salt/netapi/__init__.py中将其删除,可临时缓解该漏洞。


腾讯安全解决方案:

1.腾讯T-Sec主机安全(云镜)漏洞库日期2021-1-22之后的版本,已支持SaltStack多个高危漏洞进行检测。

2.腾讯T-Sec漏洞扫描服务漏洞特征库日期2021-1-22之后的版本,已支持检测全网资产是否存在SaltStack多个高危漏洞,并提醒用户修复。

3.腾讯T-Sec云防火墙规则库日期2021-1-22之后的版本,已支持对SaltStack多个高危漏洞的检测和拦截。

腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。

4.腾讯T-Sec高级威胁检测系统(御界)规则库日期2021-1-22之后的版本,已支持对SaltStack多个高危漏洞的攻击检测。

5.腾讯T-Sec Web应用防火墙已支持对SaltStack多个高危漏洞的防护。

时间线:

2021年1月20日,腾讯安全云鼎实验室安全研究员@1mperio发现漏洞,提交给SaltStack官方;

2021年1月21日,SaltStack官方发布公告确认该问题;

2021年1月22日,腾讯安全全系列产品上线检测、防护能力;

2021年1月30日,SaltStack官方分配CVE-2021-25281、CVE-2021-25282、CVE-2021-25283;

2021年2月25日,SaltStack发布修复补丁,并向腾讯安全云鼎实验室公开致谢。

2021年2月26日,腾讯安全发布漏洞风险通告。

参考链接:

https://www.saltstack.com/blog/active-saltstack-cve-announced-2021-jan-21/

https://saltproject.io/blog/

https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/


关于我们 | 栏目介绍 | 联系我们 | 网站备案 | 教育网站导航
&copy; 2001 - 2013 版权所有:郑州教育信息网 地址:郑州市南阳路314号 邮编450053 豫ICP备10019805号-1
市教育局办公室:66976996 传真:66961519 信息中心:66955375 机房:66995447 传真:63951012