Accueil > Alertes CERT-MC > ALERTE CERTFR - 2020 - ALE - 012

ALERTE CERTFR - 2020 - ALE - 012

Objet : Multiples vulnérabilités dans SaltStack

Référence : CERTFR-2020-ALE-012

Risque(s)

- Exécution de code arbitraire
- Contournement de la politique de sécurité

Systèmes affectés

- SaltStack versions antérieures à 2019.2.4 et 3000.2

Résumé

De multiples vulnérabilités ont été découvertes dans les deux versions 2019 et 3000 de la solution SaltStack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un contournement de la politique de sécurité.

Plusieurs incidents de sécurité ont été relayés en source ouverte suite à des attaques ciblées.

Le CERT-FR recommande l’application de la mise à jour dans les plus brefs délais selon les recommandations de l'éditeur.

Enfin, le CERT-FR recommande également d'appliquer les bonnes pratiques de cloisonnement des composants d'administration [1] et de renouveler les secrets d'authentification utilisés par la solution SaltStack. Il est enfin fortement recommandé de procéder à une vérification de la sécurité du Système d’Information afin de détecter une attaque éventuelle.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Avis CERT-FR du 04 mai 2020
https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-263/  
- Bulletin de sécurité SaltStack du 30 avril 2020
https://help.saltstack.com/hc/en-us/articles/360043056331-New-SaltStack-Release-Critical-Vulnerability  
- Référence CVE CVE-2020-11651
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11651  
- Référence CVE CVE-2020-11652
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11652  
- [1] Recommandations relatives à l'administration sécurisée des systèmes d'information
https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf  

Dernière version de ce document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-012/  

 

 

AVIS CERTFR - 2020 - AVI - 332

02 juin 2020
actualite

Objet : Vulnérabilité dans les produits AppleRéférence : CERTFR-2020-AVI-332Risque(s) - Exécution de code arbitraire- Élévation de privilègesSystèm... Lire la suite[+]

AVIS CERTFR - 2020 - AVI - 331

02 juin 2020
actualite

Objet : Multiples vulnérabilités dans Google AndroidRéférence : CERTFR-2020-AVI-331Risque(s) - Non spécifié par l'éditeur - Exécution de code arbit... Lire la suite[+]

Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Bouton Alertes CSIRT-MC OIV
//amsn.gouv.mc/Alertes-CERT-MC/ALERTE-CERTFR-2020-ALE-012