发布日期：2020-04-30
更新日期：2020-05-06

受影响系统：

SaltStack SaltStack < 3000.2
SaltStack SaltStack < 2019.2.4

不受影响系统：

SaltStack SaltStack 3000.2
SaltStack SaltStack 2019.2.4

描述：

---

CVE(CAN) ID: CVE-2020-11652

SaltStack Salt（又名SaltStack）是一套开源的服务器基础架构集中化管理平台。

SaltStack Salt 2019.2.4 之前版本，3000.2之前版本在实现中存在安全漏洞，该漏洞源于salt-master进程中ClearFuncs类允许访问某些未正确过滤路径的方法。经过身份验证的攻击者利用此漏洞可以访问任意目录。

<*来源：F-secure
  *>

建议：

---

厂商补丁：

SaltStack
---------
SaltStack官方已发布最新版本修复了上述漏洞，建议相关用户及时更新规避风险。

https://github.com/saltstack/salt/releases

禁止将Salt Master默认监听端口（4505、4506）向公网开放，并设置为仅对可信对象开放

浏览次数：1015
严重程度：0（网友投票）