Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2021-01180

Опубликовано: 27 фев. 2021
Источник: fstec
CVSS3: 7.4
CVSS2: 7.1
EPSS Низкий

Описание

Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с ошибками процедуры подтверждения подлинности сертификата (на серверах vCenter, vSphere и ESXi). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «человек посередине»

Вендор

Fedora Project
SaltStack, Inc
АО «ИВК»
АО "НППКТ"

Наименование ПО

Fedora
Salt
Альт 8 СП
ОСОН ОСнова Оnyx

Версия ПО

32 (Fedora)
33 (Fedora)
до 3002.5 (Salt)
- (Альт 8 СП)
до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Fedora Project Fedora 32
Fedora Project Fedora 33
АО «ИВК» Альт 8 СП -
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для SaltStack Salt:
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/
Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 64%
0.00461
Низкий

7.4 High

CVSS3

7.1 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-28972

CVSS3: 5.9
ubuntu
почти 5 лет назад

In SaltStack Salt before 3002.5, authentication to VMware vcenter, vsphere, and esxi servers (in the vmware.py files) does not always validate the SSL/TLS certificate.

redhat логотип

CVE-2020-28972

CVSS3: 7.4
redhat
почти 5 лет назад

In SaltStack Salt before 3002.5, authentication to VMware vcenter, vsphere, and esxi servers (in the vmware.py files) does not always validate the SSL/TLS certificate.

nvd логотип

CVE-2020-28972

CVSS3: 5.9
nvd
почти 5 лет назад

In SaltStack Salt before 3002.5, authentication to VMware vcenter, vsphere, and esxi servers (in the vmware.py files) does not always validate the SSL/TLS certificate.

debian логотип

CVE-2020-28972

CVSS3: 5.9
debian
почти 5 лет назад

In SaltStack Salt before 3002.5, authentication to VMware vcenter, vsp ...

github логотип

GHSA-w589-r335-4f55

CVSS3: 5.9
github
больше 3 лет назад

SaltStack Salt Improper Certificate Validation

EPSS

Процентиль: 64%
0.00461
Низкий

7.4 High

CVSS3

7.1 High

CVSS2