ГлавнаяБаза уязвимостей БДУ → BDU:2021-06340
7.5критическая

BDU:2021-06340 (CVE-2021-3148)

Уязвимость функции salt.utils.thin.gen_thin() системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, позволяющая нарушителю выполнять произвольные команды в целевой системе
Опубликовано: 2021-12-24
Описание

Уязвимость функции salt.utils.thin.gen_thin() системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с недостаточной проверкой аргументов, передаваемых в команду. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды в целевой системе

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Fedora (32)Fedora (33)Fedora (34)Debian GNU/Linux (11)Salt (до 2015.8.10)Salt (от 2015.8.11 до 2015.8.13)Salt (от 2016.3.5 до 2016.3.6)Salt (от 2016.3.7 до 2016.3.8)Salt (от 2016.3.9 до 2016.11.3)Salt (от 2016.11.4 до 2016.11.5)Salt (от 2016.11.7 до 2016.11.10)Salt (от 2017.5.0 до 2017.7.8)Salt (от 2019.2.0 до 2019.2.5)Salt (от 2019.2.6 до 2019.2.8)Salt (от 3000 до 3000.6)Salt (от 3001 до 3001.4)Salt (от 3002 до 3002.5)Salt (от 2016.3.0 до 2016.3.4)Salt (от 2018.2.0 до 2018.3.5 включительно)Альт 8 СПОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для SaltStack Salt:
https://github.com/saltstack/salt/releases

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/

Для Debian GNU/Linux:
https://www.debian.org/security/2021/dsa-5011
https://lists.debian.org/debian-lts-announce/2021/11/msg00009.html

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-3148https://www.suse.com/security/cve/CVE-2021-3148.htmlhttps://www.cybersecurity-help.cz/vdb/SB2021112302https://github.com/saltstack/salt/releaseshttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/https://www.debian.org/security/2021/dsa-5011
Проверьте безопасность своего сайта и почты → Полная проверка домена