【网络安全】关于SaltStack软件存在高危漏洞的预警通报

  

尊敬的用户：

您好！

      接县公安部门通报，近日检测发现，服务器基础架构集中化管理软件SaltStack存在认证漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）.漏洞者可利用该认证绕过SaltStack验证逻辑，调用相关未授权函数，实现远程命令执行。同时可构造恶意请求，利用该目录遍历漏洞，获取服务器文件。版本号地域2019.2.4和3000.2的SaltStack软件均受此漏洞影响。
      鉴于该漏洞影响范围大，潜在危害高，请各地、各单位务必重视，及时通报预警，建议采取以下措施：
      1.升级至安全版本及其以上，升级前建议做好快照备份措施。安全版本下载地址参考：https://repo.saltstack.com
      2.设置SaltStack为自动更新，及时获取相应补丁。
      3.将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。
      发现网络攻击情况要第一时间启动应急处置预案并及时报告当地所属公安机关中心。

温州云众科技有限公司

2020年5月6日