ГлавнаяБаза уязвимостей БДУ → BDU:2021-06348
7.5критическая

BDU:2021-06348

Уязвимость компонента wheel.pillar_roots.write системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, связанная с ошибками при проверке вводимых данных, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2021-12-24
Описание

Уязвимость компонента wheel.pillar_roots.write системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с ошибками при проверке вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код

Затрагиваемое ПО и версии
Debian GNU/Linux (9)Debian GNU/Linux (10)Fedora (32)Fedora (33)Fedora (34)Debian GNU/Linux (11)Salt (до 2015.8.10)Salt (от 2015.8.11 до 2015.8.13)Salt (от 2016.3.5 до 2016.3.6)Salt (от 2016.3.7 до 2016.3.8)Salt (от 2016.3.9 до 2016.11.3)Salt (от 2016.11.4 до 2016.11.5)Salt (от 2016.11.7 до 2016.11.10)Salt (от 2017.5.0 до 2017.7.8)Salt (от 2019.2.0 до 2019.2.5)Salt (от 2019.2.6 до 2019.2.8)Salt (от 3000 до 3000.6)Salt (от 3001 до 3001.4)Salt (от 3002 до 3002.5)Salt (от 2016.3.0 до 2016.3.4)Salt (от 2018.2.0 до 2018.3.5 включительно)Альт 8 СПОСОН ОСнова Оnyx (до 2.5)
Способ устранения

Использование рекомендаций:
Для SaltStack Salt:
https://github.com/saltstack/salt/releases

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/

Для Debian GNU/Linux:
https://lists.debian.org/debian-lts-announce/2021/11/msg00009.html
https://www.debian.org/security/2021/dsa-5011

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.5 — критическая опасность
Источники и патчи
https://github.com/saltstack/salt/releaseshttps://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/https://lists.debian.org/debian-lts-announce/2021/11/msg00009.htmlhttps://www.debian.org/security/2021/dsa-5011https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.5/https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена