ГлавнаяБаза уязвимостей БДУ → BDU:2021-05977
7.5критическая

BDU:2021-05977 (CVE-2021-25281)

Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, связанная с неправильным ограничением доступа, позволяющая нарушителю получить несанкционированный доступ к другим ограниченным функциям
Опубликовано: 2021-12-13
Описание

Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с неправильным ограничением доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к другим ограниченным функциям.

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Fedora (32)Fedora (33)Fedora (34)Debian GNU/Linux (11)Salt (до 2015.8.10)Salt (от 2015.8.11 до 2015.8.13)Salt (от 2016.3.5 до 2016.3.6)Salt (от 2016.3.7 до 2016.3.8)Salt (от 2016.3.9 до 2016.11.3)Salt (от 2016.11.4 до 2016.11.5)Salt (от 2016.11.7 до 2016.11.10)Salt (от 2017.5.0 до 2017.7.8)Salt (от 2019.2.0 до 2019.2.5)Salt (от 2019.2.6 до 2019.2.8)Salt (от 3000 до 3000.6)Salt (от 3001 до 3001.4)Salt (от 3002 до 3002.5)Salt (от 2016.3.0 до 2016.3.4)Salt (от 2018.2.0 до 2018.3.5 включительно)Альт 8 СПОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для SaltStack Salt:
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5011
https://lists.debian.org/debian-lts-announce/2021/11/msg00009.html

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-25281https://www.suse.com/security/cve/CVE-2021-25281/http://packetstormsecurity.com/files/162058/SaltStack-Salt-API-Unauthenticated-Remote-Command-Execution.htmlhttps://github.com/saltstack/salt/releaseshttps://lists.debian.org/debian-lts-announce/2021/11/msg00009.htmlhttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/
Проверьте безопасность своего сайта и почты → Полная проверка домена