ALERTE CERTFR - 2020 - ALE - 012
Publié le 5 mai 2020 à 09h50 - Mis à jour le 21 janvier 2025 à 11h43
Objet
Multiples vulnérabilités dans SaltStack
Référence
CERTFR-2020-ALE-012
Risque(s)
- Exécution de code arbitraire
- Contournement de la politique de sécurité
Systèmes affectés
- SaltStack versions antérieures à 2019.2.4 et 3000.2
Résumé
De multiples vulnérabilités ont été découvertes dans les deux versions 2019 et 3000 de la solution SaltStack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire et un contournement de la politique de sécurité.
Plusieurs incidents de sécurité ont été relayés en source ouverte suite à des attaques ciblées.
Le CERT-FR recommande l’application de la mise à jour dans les plus brefs délais selon les recommandations de l'éditeur.
Enfin, le CERT-FR recommande également d'appliquer les bonnes pratiques de cloisonnement des composants d'administration [1] et de renouveler les secrets d'authentification utilisés par la solution SaltStack. Il est enfin fortement recommandé de procéder à une vérification de la sécurité du Système d’Information afin de détecter une attaque éventuelle.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Avis CERT-FR du 04 mai 2020 : https://www.cert.ssi.gouv.fr/avis/CERTFR-2020-AVI-263/
- Bulletin de sécurité SaltStack du 30 avril 2020 : https://help.saltstack.com/hc/en-us/articles/360043056331-New-SaltStack-Release-Critical-Vulnerability
- Référence CVE CVE-2020-11651 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11651
- Référence CVE CVE-2020-11652 : http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11652
- [1] Recommandations relatives à l'administration sécurisée des systèmes d'information : https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf