AVIS CERTFR - 2020 - AVI - 712
Publié le 4 novembre 2020 à 20h17
Objet : Multiples vulnérabilités dans SaltStack
Référence : CERTFR-2020-AVI-712
Risque(s)
- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité
Systèmes affectés
- SaltStack 3002.x sans le dernier package de sécurité
- SaltStack 3001.x sans le dernier package de sécurité
- SaltStack 3000.x sans le dernier package de sécurité
- SaltStack 2019.x sans le dernier package de sécurité
- SaltStack 2018.3.5 sans le dernier patch
- SaltStack 2017.7.4, 2017.7.8 sans le dernier patch
- SaltStack 2016.11.3, 2016.11.6, 2016.11.10 sans le dernier patch
- SaltStack 2016.3.4, 2016.3.6, 2016.3.8 sans le dernier patch
- SaltStack 2015.8.10, 2015.8.13 sans le dernier patch
Résumé
De multiples vulnérabilités ont été découvertes dans SaltStack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité SaltStack k du 03 novembre 2020
https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/
- Référence CVE CVE-2020-16846
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-16846
- Référence CVE CVE-2020-17490
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17490
- Référence CVE CVE-2020-25592
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25592
Dernière version du document