阿里云服务器客户尽快修复,阿里云应急响应中心监测到国外某安全团队披露了SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)

2020年5月3日,阿里云应急响应中心监测到近日国外某安全团队披露了SaltStack存在认证绕过致命令执行漏洞(CVE-2020-11651、CVE-2020-11652)以及目录遍历漏洞。与此同时阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测,并且阿里云云防火墙已可防御此漏洞攻击。

漏洞详情描述

SaltStack是基于Python开发的一套C/S架构配置管理工具。国外某安全团队披露了SaltStack存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。在CVE-2020-11651认证绕过漏洞中,攻击者通过构造恶意请求,可以绕过Salt Master的验证逻辑,调用相关未授权函数功能,从而可以造成远程命令执行漏洞。在CVE-2020-11652目录遍历漏洞中,攻击者通过构造恶意请求,读取服务器上任意文件。阿里云应急响应中心提醒SaltStack用户尽快采取安全措施阻止漏洞攻击。

漏洞影响版本

SaltStack < 2019.2.4

SaltStack < 3000.2

漏洞处理方案

当您发现服务器已经遭受攻击,可登录云服务器使用阿里云安全团队提供的清除工具进行一键清除。

curl https://xzfile.aliyuncs.com/aliyun/salt_miner_clean.sh | /bin/bash

漏洞修复方案

以下任意一种方法均可实现漏洞修复/缓解

1. 升级至安全版本及其以上,升级前建议做好快照备份措施。安全版本下载地址参考:https://repo.saltstack.com

2. 设置SaltStack为自动更新,及时获取相应补丁。

3. 将Salt Master默认监听端口(默认4505 和 4506)设置为禁止对公网开放,或仅对可信对象开放。安全组相关设置示例如下:

经典安全组,设置公网入方向Drop规则

Drop 1 0.0.0.0/0 4505/4506

1588939286-e1616af7eed1feb

专有网络安全组:

对可信对象设置内网入方向Accept规则(建议配置vpc所属网段,以vpc是10网段为例),然后设置内网入方向Drop all规则(drop all优先级需要低于vpc所属网段accept优先级,否则内网也将被阻断):

Accept 1 10.0.0.0/8 4505/4506

1588939287-76a0c9909eb0750

Drop 2 0.0.0.0/0 4505/4506

1588939288-5770ea2788a5613

相关链接:https://labs.f-secure.com/advisories/saltstack-authorization-bypass

阿里云阿里云应急响应中心公告链接:https://help.aliyun.com/noticelist/articleid/1060284512.html?spm=5176.12818093.0.1.488716d0rmdYjJ

免责申明:
1. 本站所有教程、文章或资源分享目的仅供大家学习和交流,可进群讨论!
2. 如有无法查看或链接失效,烦请报告联系管理员处理!
3. 本站无法保证资源或其时效性,恕不接受任何提问。
4. 欢迎大家帮助本站出力,赞助费用仅维持本站的日常运营所需!故不接受任何形式的退款。
5. 搜5G网无法保证文章教程或资源的完善与安全,请自行检测解决。
6. 在本站下载的源码严禁杜绝任何形式的正式商业用途,请去程序官方购买。
本站资源素材仅提供学习的平台,所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,并不承担任何法律责任,如果对您的版权或者利益造成损害,请提供相应的资质证明,我们将于3个工作日内予以删除。本作品采用BY-NC-SA 4.0 《国际知识共享署名许可协议4.0》 进行许可 。
本站所有图片素材均享自由版权下创作共用CC0协议。
搜5G资源网,5G资源网 » 阿里云服务器客户尽快修复,阿里云应急响应中心监测到国外某安全团队披露了SaltStack远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)

发表评论

搜5G网永久会员限时优惠中,不限下载,免费更新

立即查看 了解详情