CERTFR-2020-AVI-712 : Multiples vulnérabilités dans SaltStack (04 novembre 2020)
Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
Systèmes affectés
- SaltStack 3002.x sans le dernier package de sécurité
- SaltStack 3001.x sans le dernier package de sécurité
- SaltStack 3000.x sans le dernier package de sécurité
- SaltStack
2019.x sans le dernier package de sécuritéSaltStack 2018.3.5 sans le dernier patch SaltStack 2017.7.4, 2017.7.8 sans le dernier patch SaltStack 2016.11.3, 2016.11.6, 2016.11.10 sans le dernier patch SaltStack 2016.3.4, 2016.3.6, 2016.3.8 sans le dernier patch SaltStack 2015.8.10, 2015.8.13 sans le dernier patch
Résumé
De multiples vulnérabilités ont été découvertes dans SaltStack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SaltStack k du 03 novembre 2020
https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/ - Référence CVE CVE-2020-16846
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16846 - Référence CVE CVE-2020-17490
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17490 - Référence CVE CVE-2020-25592
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25592
- Vues : 358