Múltiples vulnerabilidades en Salt de SaltStack
Fecha de publicación 06/05/2020
Importancia
5 - Crítica
Recursos Afectados
- Salt, versión 3000.1 y anteriores;
- Salt, versión 2019.2.3 y anteriores.
Descripción
Investigadores de F-Secure han reportado a Salt dos vulnerabilidades de severidad crítica que afectan a su Framework Salt. Un atacante, remoto, podría evadir los controles de autenticación y ejecutar código arbitrario con privilegios de root en el sistema.
Solución
- Actualizar Salt 3000.X a la versión 3000.2 o posterior.
- Actualizar Salt 2019.X a la versión 2019.2.4 o posterior.
Detalle
- La clase ClearFuncs, del proceso Salt-master, no valida adecuadamente las llamadas a métodos. Un atacante remoto podría acceder algunos métodos evadiendo la autenticación. Se ha asignado el identificador CVE-2020-11651 para esta vulnerabilidad.
- La clase ClearFuncs, del proceso Salt-master, permite acceder a algunos métodos que sanean inapropiadamente las rutas. Un atacante remoto, autenticado, podría acceder a directorios. Se ha asignado el identificador CVE-2020-11652 para esta vulnerabilidad.
Listado de referencias
Etiquetas