CVE-2020-11652

SaltStack Salt

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

SaltStack Salt contains a path traversal vulnerability in the salt-master process ClearFuncs which allows directory access to authenticated users. Salt users who follow fundamental internet security guidelines and best practices are not affected by this vulnerability.

🛡️
Технический анализ и план устранения

Суть уязвимости

Аутентифицированный пользователь (миньон или пользователь, имеющий учетные данные для взаимодействия с мастером) может использовать уязвимость обхода пути (path traversal) в компоненте ClearFuncs соль-мастера. Это позволяет получить несанкционированный доступ к файлам и директориям на файловой системе соль-мастера, выходя за пределы предназначенных для доступа каталогов.

Как исправить

Необходимо обновить Salt Master до исправленной версии.

Для систем на базе Debian/Ubuntu:

# Для Salt 2019.2.x (включая 2019.2.4)
apt update
apt install salt-master=2019.2.5+ds-1

# Для Salt 3000.x (первый выпуск 3000)
apt update
apt install salt-master=3000.2+ds-1

Для систем на базе RHEL/CentOS:

# Для Salt 2019.2.x
yum update salt-master-2019.2.5

# Для Salt 3000.x
yum update salt-master-3000.2

Для Windows (установка через установщик): Скачайте и установите исправленную версию с официального сайта: - Salt 3000.2 - Salt 2019.2.5

Временное решение

Если немедленное обновление невозможно, примените следующие меры:

  1. Ограничьте сетевой доступ. Настройте брандмауэр, чтобы разрешить входящие подключения к порту соль-мастера (по умолчанию 4505 и 4506) только с доверенных IP-адресов (адресов ваших миньонов). bash # Пример для iptables (разрешить только с сети 10.0.0.0/24) iptables -A INPUT -p tcp --dport 4505 -s 10.0.0.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 4506 -s 10.0.0.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 4505 -j DROP iptables -A INPUT -p tcp --dport 4506 -j DROP

  2. Используйте WAF. Настройте Web Application Firewall (например, ModSecurity на обратном прокси) для блокировки запросов, содержащих последовательности обхода пути (../, ..\).

  3. Усильте мониторинг. Включите детальное логирование (log_level: debug в /etc/salt/master) и настройте алерты на необычную активность, связанную с доступом к файлам.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей