ГлавнаяБаза уязвимостей БДУ → BDU:2020-03941
10критическая

BDU:2020-03941 (CVE-2020-11651)

Уязвимость компонента master.py системы управления конфигурациями и удалённого выполнения операций SaltStack, позволяющая нарушителю получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании
Опубликовано: 2020-08-14
Описание

Уязвимость компонента master.py системы управления конфигурациями и удалённого выполнения операций SaltStack связана с недостатком механизма проверки вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить доступ к конфиденциальным данным, нарушить их целостность, а также вызвать отказ в обслуживании

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (8)Debian GNU/Linux (10)Salt (до 2019.2.4)Salt (от 3000 до 3000.2)Альт 8 СПОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для salt:

Обновление программного обеспечения до 3000.2+dfsg1-1 или более поздней версии



Для Debian:

Обновление программного обеспечения (пакета salt) до 2018.3.4+dfsg1-6+deb10u1 или более поздней версии

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.htmlhttps://nvd.nist.gov/vuln/detail/CVE-2020-11651https://security-tracker.debian.org/tracker/CVE-2020-11651http://packetstormsecurity.com/files/157560/Saltstack-3000.1-Remote-Code-Execution.htmlhttps://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://altsp.su/obnovleniya-bezopasnosti/https://www.cisa.gov/sites/default/files/csv/known_exploited_vulnerabilities.csv
Проверьте безопасность своего сайта и почты → Полная проверка домена