今天收集CVE-2021-3197命令注入漏洞修复方法 CVE-2021-25281未授权访问漏洞修复方法 CVE-2021-25283 SaltAPI 模板注入漏洞修复方法
汇总如下:
监测到SaltStack官方发布安全更新,修复了多个高危漏洞。本次更新的漏洞影响广泛,建议广大SaltStack用户及时升级到最新版本,避免遭受恶意攻击。
漏洞描述
该漏洞评级为高危。由于Salt-API SSH 客户端过滤不严,攻击者可通过ProxyCommand等参数造成命令执行。
该漏洞评级为高危。该漏洞源于salt-api未校验wheel_async客户端的eauth凭据,攻击者可远程调用master上任意wheel模块。
CVE-2021-25283 SaltAPI 模板注入漏洞:
该漏洞评级为高危。由于 wheel.pillar_roots.write 存在目录遍历,攻击者可构造恶意请求,造成jinja模板注入,执行任意代码。
影响版本
SaltStack < 3002.5
SaltStack < 3001.6
SaltStack < 3000.8
修复建议
将SaltStack升级到最新版本
参考链接
[1]https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
声明: 博客仅为信息分享,绝非推荐,网站不参与交易,内容均仅代表个人观点,仅供参考,读者务必认真考虑后下手并自担风险;一分钱一分货仍是恒久不变之真理,任何IDC都有倒闭和跑路的可能,月付和备份是最佳选择,VPS大学有专门介绍网站备份的文章,数据是无价的,经常备份,养成好习惯;本文由( VPS大学 )原创编译,转载请保留链接并注明出处;其他问题,请加入VPS大学QQ交流群 230888568 ,一起解决问题。
