7.1высокая
BDU:2022-07041 (CVE-2020-35662)
Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, связанная с ошибками процедуры подтверждения подлинности сертификата, позволяющая нарушителю выполнить атаку типа «человек посередине»
Опубликовано: 2022-11-30
Описание
Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «человек посередине»
Затрагиваемое ПО и версии
Debian GNU/Linux (9)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (15-LTSS)SUSE Linux Enterprise Server for SAP Applications (12)Fedora (32)Fedora (33)OpenSUSE Leap (15.2)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)Salt (до 3002.5)Fedora (34)Debian GNU/Linux (11)Suse Linux Enterprise Server (12)Salt (до 2015.8.10)Salt (от 2015.8.11 до 2015.8.13)Salt (от 2016.3.5 до 2016.3.6)Salt (от 2016.3.7 до 2016.3.8)Salt (от 2016.3.9 до 2016.11.3)Salt (от 2016.11.4 до 2016.11.5)Salt (от 2016.11.7 до 2016.11.10)Salt (от 2017.5.0 до 2017.7.8)Salt (от 2018.2.0 до 2018.3.5)
Способ устранения
Использование рекомендаций:
Для SaltStack Salt:
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-35662
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-35662.html
Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Оценка CVSS
| Балл | 7.1 — высокая опасность |
Источники и патчи