BDU:2021-06341

Опубликовано: 27 фев. 2021

Источник: fstec

CVSS3: 7.8

CVSS2: 4.6

EPSS Низкий

Описание

Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с проверкой перезапуска миньона. Эксплуатация уязвимости может позволить нарушителю, имеющему возможность создавать файлы в каталоге, локально повысить привилегии

Вендор

Сообщество свободного программного обеспечения

Fedora Project

SaltStack, Inc

АО «ИВК»

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

Fedora

Salt

Альт 8 СП

ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)

10 (Debian GNU/Linux)

32 (Fedora)

33 (Fedora)

34 (Fedora)

11 (Debian GNU/Linux)

до 2015.8.10 (Salt)

от 2015.8.11 до 2015.8.13 (Salt)

от 2016.3.0 до 2015.3.4 (Salt)

от 2016.3.5 до 2016.3.6 (Salt)

от 2016.3.7 до 2016.3.8 (Salt)

от 2016.3.9 до 2016.11.3 (Salt)

от 2016.11.4 до 2016.11.5 (Salt)

от 2016.11.7 до 2016.11.10 (Salt)

от 2017.5.0 до 2017.7.8 (Salt)

от 2018.2.0 до 2018.3.5 (Salt)

от 2019.2.0 до 2019.2.5 (Salt)

от 2019.2.6 до 2019.2.8 (Salt)

от 3000 до 3000.6 (Salt)

от 3001 до 3001.4 (Salt)

от 3002 до 3002.5 (Salt)

- (Альт 8 СП)

до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Fedora Project Fedora 32

Fedora Project Fedora 33

Fedora Project Fedora 34

Сообщество свободного программного обеспечения Debian GNU/Linux 11

АО «ИВК» Альт 8 СП -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.5

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)

Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для SaltStack Salt:

https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/

Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2021/11/msg00009.html

https://www.debian.org/security/2021/dsa-5011

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-28243
CVE

EPSS

Процентиль: 82%

0.01734

Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

CVE-2020-28243

CVSS3: 7.8

ubuntu

почти 5 лет назад

An issue was discovered in SaltStack Salt before 3002.5. The minion's restartcheck is vulnerable to command injection via a crafted process name. This allows for a local privilege escalation by any user able to create a files on the minion in a non-blacklisted directory.

CVE-2020-28243

CVSS3: 7

redhat

почти 5 лет назад

CVE-2020-28243

CVSS3: 7.8

nvd

почти 5 лет назад

CVE-2020-28243

CVSS3: 7.8

debian

почти 5 лет назад

An issue was discovered in SaltStack Salt before 3002.5. The minion's ...

GHSA-phhw-3wc9-8q75

CVSS3: 7.8

github

больше 3 лет назад

SaltStack Salt command injection via a crafted process name

EPSS

Процентиль: 82%

0.01734

Низкий

7.8 High

CVSS3

4.6 Medium

CVSS2