ГлавнаяБаза уязвимостей БДУ → BDU:2022-07060
9.4критическая

BDU:2022-07060 (CVE-2021-25282)

Уязвимость реализации метода salt.wheel.pillar_roots.write системы управления конфигурациями и удалённого выполнения операций SaltStack Salt, позволяющая нарушителю раскрыть защищаемую информацию
Опубликовано: 2022-11-30
Описание

Уязвимость реализации метода salt.wheel.pillar_roots.write системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть защищаемую информацию с помощью специально созданного HTTP-запроса

Затрагиваемое ПО и версии
Debian GNU/Linux (9)SUSE Linux Enterprise Server for SAP Applications (12 SP3)SUSE Linux Enterprise Server for SAP Applications (12 SP4)Suse Linux Enterprise Server (12 SP3)Suse Linux Enterprise Server (12 SP4)Suse Linux Enterprise Server (11 SP4)SUSE Linux Enterprise Server for SAP Applications (15)SUSE Linux Enterprise Server for SAP Applications (15 SP1)Suse Linux Enterprise Server (12 SP5)SUSE Linux Enterprise Server for SAP Applications (12 SP5)Debian GNU/Linux (10)Suse Linux Enterprise Server (15-LTSS)SUSE Linux Enterprise Server for SAP Applications (12)Fedora (32)Suse Linux Enterprise Server (11 SP3)OpenSUSE Leap (15.2)Fedora (33)Suse Linux Enterprise Server (15 SP1-BCL)Suse Linux Enterprise Server (15 SP1-LTSS)Salt (до 3002.5)Fedora (34)Debian GNU/Linux (11)Suse Linux Enterprise Server (12)Salt (до 2015.8.10)Salt (от 2015.8.11 до 2015.8.13)Salt (от 2016.3.5 до 2016.3.6)Salt (от 2016.3.7 до 2016.3.8)Salt (от 2016.3.9 до 2016.11.3)Salt (от 2016.11.4 до 2016.11.5)Salt (от 2016.11.7 до 2016.11.10)
Способ устранения

Использование рекомендаций:

Для SaltStack Salt:
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/

Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/

Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2021-25282

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-13543.html

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл9.4 — критическая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2021-25282https://www.cybersecurity-help.cz/vdb/SB2021022809https://packetstormsecurity.com/files/162058/SaltStack-Salt-API-Unauthenticated-Remote-Command-Execution.htmlhttps://github.com/saltstack/salt/releaseshttps://security.gentoo.org/glsa/202103-01https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
Проверьте безопасность своего сайта и почты → Полная проверка домена