ГлавнаяБаза уязвимостей БДУ → BDU:2021-06345
10критическая

BDU:2021-06345 (CVE-2021-3197)

Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, позволяющая нарушителю выполнять произвольные команды с повышенными привилегиями
Опубликовано: 2021-12-24
Описание

Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с ошибками в обработке вводимых данных в ssh-клиенте salt-api. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды с повышенными привилегиями, путем включения ProxyCommandв аргумент или с помощью ssh_options предоставленного в запросе API

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Fedora (32)Fedora (33)Fedora (34)Debian GNU/Linux (11)Salt (до 2015.8.10)Salt (от 2015.8.11 до 2015.8.13)Salt (от 2016.3.5 до 2016.3.6)Salt (от 2016.3.7 до 2016.3.8)Salt (от 2016.3.9 до 2016.11.3)Salt (от 2016.11.4 до 2016.11.5)Salt (от 2016.11.7 до 2016.11.10)Salt (от 2017.5.0 до 2017.7.8)Salt (от 2019.2.0 до 2019.2.5)Salt (от 2019.2.6 до 2019.2.8)Salt (от 3000 до 3000.6)Salt (от 3001 до 3001.4)Salt (от 3002 до 3002.5)Salt (от 2016.3.0 до 2016.3.4)Salt (от 2018.2.0 до 2018.3.5 включительно)Альт 8 СПОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для SaltStack Salt:
https://github.com/saltstack/salt/releases

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/11/msg00009.html
https://www.debian.org/security/2021/dsa-5011

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://nvd.nist.gov/vuln/detail/CVE-2021-3197https://www.suse.com/security/cve/CVE-2021-3197/https://www.cybersecurity-help.cz/vdb/SB2021112302https://github.com/saltstack/salt/releaseshttps://lists.debian.org/debian-lts-announce/2021/11/msg00009.htmlhttps://www.debian.org/security/2021/dsa-5011https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
Проверьте безопасность своего сайта и почты → Полная проверка домена