今日时间:
关于SaltStack软件高危漏洞的预警通知
来源: 发布时间:2020-05-09  发布人:杨汝亮

各部门各单位:

接上级有关部门通知,服务器基础架构集中化管理软件SaltStack存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。攻击者可利用认证绕过漏洞绕过SaltStack的验证逻辑,调用相关未授权函数,实现远程命令执行;也可通过构造恶意请求,利用目录遍历漏洞,读取服务器上任意文件。受影响的软件版本包括:版本号低于2019.2.4和3000.2的SaltStack版本。

鉴于上述漏洞潜在危害较大,请各部门各单位认真排查是否使用SaltStack软件,如有使用,请尽快采取以下措施处置:

一、将运行SaltStack的相关软硬件系统报信息化建设与管中心备案;

二、在确保安全的前提下,及时升级SaltStack软件版本,消除安全隐患,升级地址为:https://repo.saltstack.com

三、设置访问控制策略,限制非信任IP访问SaltStack软件服务4505和4506端口。

发现攻击情况及时处置并报告信息化建设与管理中心,联系电话:85071139。

信息化建设与管理中心

2020年5月9日



市北校区地址:青岛市抚顺路11号   邮编:266033     长江路校区地址:青岛市黄岛区长江中路2号 邮编:266520    版权所有?手机赚钱软件

嘉陵江路校区地址:青岛市黄岛区嘉陵江东路777号   邮编:266525     临沂校区地址:临沂市费县县城东外环1号    邮编:273400    鲁ICP备05046218号-1