清静预警 - 涉及豪运国际部分产品的SaltStack多个误差清静更新

产品清静 > 清静预警

清静预警 - 涉及豪运国际部分产品的SaltStack多个误差清静更新

预警编号：INSPUR-SA-202103-001

初始宣布时间：2021-03-23 09:08:03

更新宣布时间：2021-03-23 09:08:03

误差泉源：

由外洋某清静团队果真披露

误差影响：

攻击者乐成使用上述误差可实现未授权会见、远程代码执行。

误差形貌：

CVE-2021-25281
salt-api未校验wheel_async客户端的eauth凭证，受此误差影响攻击者可远程挪用master上恣意wheel�？椤�
CVE-2021-25282
salt.wheel.pillar_roots.write 要领保存目录穿越误差。
CVE-2021-25283
内置Jinja渲染引擎保存SSTI（Server Side Template Injection，服务端模板注入）误差。
CVE-2021-25284
webutils将明文密码写入/var/log/salt/minionSalt。默认设置中不保存此问题。
CVE-2021-3197
Salt-API的SSH客户端容易受到Shell注入的攻击，要领是在参数中包括ProxyCommand或通过API请求中提供的ssh_options。此�？樵谀锨樾蜗挛丛诵小�
CVE-2021-3148
salt.utils.thin.gen_thin() 中保存下令注入。通过SaltAPI，从名堂化的字符串结构下令，若是 extra_mods 中有单引号，则可以将下令截断，由于json.dumps() 会转义双引号，同时坚持单引号稳固。
CVE-2020-35662
默认情形下，Salt保存不验证SSL证书的几个地方。
CVE-2021-3144
eauth令牌在逾期后仍可以使用一次。
CVE-2020-28972
缺少对SSL证书的验证，代码库无法验证服务器的SSL/TLS证书，这可能使攻击者可以通过中心人攻击获取敏感信息。
CVE-2020-28243
Minion中的外地特权提升误差，当无特权的用户能够通过历程名称中的下令注入而能够在任何未列入黑名单的目录中建设文件时，SaltStack的Minion可以举行特权升级。

CVSS评分：

CVE	V3.1 Vector(Base)	Base Score	V3.1 Vector(Temporal Score)	Temporal Score
CVE-2021-25281	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2021-25282	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H	9.1	E:P/RL:O/RC:C	8.2
CVE-2021-25283	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2021-25284	AV:L/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N	4.4	E:U/RL:O/RC:C	3.9
CVE-2021-3197	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5
CVE-2021-3148	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5
CVE-2020-35662	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N	7.4	E:U/RL:O/RC:C	6.4
CVE-2021-3144	AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H	9.1	E:U/RL:O/RC:C	7.9
CVE-2020-28972	AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N	5.9	E:U/RL:O/RC:C	5.2
CVE-2020-28243	AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H	7.8	E:U/RL:O/RC:C	6.8

受影响产品：

产品名称	受影响产品版本	修复补丁包/升级包版本
AS13000	3.6.3.9	3.6.3.9:Salt-2015.8-AS13000--3.6.3.9-update.zip
AS13000	3.6.3.9-SP1
AS13000	3.6.3.9-SP2
AS13000	3.6.3.9-SP3
AS13000	3.6.3.9-SP4
AS13000	3.6.3.9-SP5
AS13000	3.4.3.7	3.4.3.6/7: salt-centos6-2015.8-AS13000-3.4.3.7-update.zip

手艺细节：

攻击者通过组合CVE-2021-25281、CVE-2021-25282、CVE-2021-25283攻击，可以抵达无需登录实现远程下令执行的效果。

误差解决计划：

请用户直接联系客户服务职员或发送邮件至sun.meng@inspur.com，获取补丁，以及相关的手艺协助。
说明：升级补丁包对存储营业无影响

FAQ：

无

更新纪录：

20210323-V1.0-Initial Release

豪运国际清静应急响应对外服务：

豪运国际一直主张尽全力包管产品用户的最终利益，遵照认真任的清静事务披露原则，并通过产品清静问题处置惩罚机制处置惩罚产品清静问题。

反响豪运国际产品清静问题： /lcjtww/psirt/vulnerability-management/index.html#report_ldbg

获取手艺支持：/lcjtww/2317452/2317456/2317460/index.html

声明

本文档提供的所有数据和信息仅供参考，且"按原样"提供，不允许任何昭示、默示和法定的担保，包括(但不限于)对适销性、适用性及不侵权的担保。在任何情形下，豪运国际或其直接或间接控制的子公司，或其供应商，均差池任何一方因依赖或使用本信息而遭受的任何损失肩负责任，包括直接，间接，无意，一定的商业利润损失或特殊损失。豪运国际保存随时更改或更新此文档的权力。