首页 云计算

云安全日报210125:Debian远程管理器发现命令注入漏洞,需要尽快升级

Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机,台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Deepin、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来,它的稳定性和可靠性就深受用户喜爱。

1月24日,Debian远程管理器(salt)发现命令注入等重要漏洞,需要尽快升级。以下是漏洞详情:

漏洞详情

来源:https://www.debian.org/security/2021/dsa-4837

SaltStack是基于Python开发的一套C/S架构配置管理工具。2020年11月SaltStack官方披露了CVE-2020-16846和CVE-2020-25592两个漏洞.其中CVE-2020-25592允许任意用户调用SSH模块。CVE-2020-16846允许用户执行任意命令。组合这两个漏洞,将可以使未授权的攻击者通过Salt API执行任意命令。

1.CVE-2020-16846 严重程度: 高

未经身份验证的攻击者通过构造恶意请求,利用Shell注入(shell injection)获取SSH连接,从而在Salt-API上执行任意命令。

2.CVE-2020-25592 严重程度: 高

该漏洞可能导致绕过身份验证和对Salt SSH的调用,通过TLS执行模块创建具有弱文件权限的证书或使用SSH客户端使用Salt API进行外壳注入,从而利用salt ssh连接目标主机。

CVE-2020-16846和CVE-2020-25592组合使用可在未授权的情况下通过salt-api接口执行任意命令。

3.CVE-2020-17490 严重程度: 高

本地攻击者用低权限用户登录salt主机,可以从当前salt程序主机上读取到密钥内容,导致信息泄漏。

受影响产品及版本

上述漏洞影响Debian salt软件包2018.3.4 + dfsg1-6 + deb10u2之前版本

解决方案

此问题已在2018.3.4 + dfsg1-6 + deb10u2中修复,官方建议及时更新salt软件包

查看更多漏洞信息 以及升级请访问官网:

https://www.debian.org/lts/security/

官方微博/微信

每日头条、业界资讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科技八卦吗?

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

为您推荐

手机游戏更多