BDU:2021-06345

Опубликовано: 27 фев. 2021

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Низкий

Описание

Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с ошибками в обработке вводимых данных в ssh-клиенте salt-api. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды с повышенными привилегиями, путем включения ProxyCommandв аргумент или с помощью ssh_options предоставленного в запросе API

Вендор

Сообщество свободного программного обеспечения

Fedora Project

SaltStack, Inc

АО «ИВК»

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

Fedora

Salt

Альт 8 СП

ОСОН ОСнова Оnyx

Версия ПО

9 (Debian GNU/Linux)

10 (Debian GNU/Linux)

32 (Fedora)

33 (Fedora)

34 (Fedora)

11 (Debian GNU/Linux)

до 2015.8.10 (Salt)

от 2015.8.11 до 2015.8.13 (Salt)

от 2016.3.5 до 2016.3.6 (Salt)

от 2016.3.7 до 2016.3.8 (Salt)

от 2016.3.9 до 2016.11.3 (Salt)

от 2016.11.4 до 2016.11.5 (Salt)

от 2016.11.7 до 2016.11.10 (Salt)

от 2017.5.0 до 2017.7.8 (Salt)

от 2019.2.0 до 2019.2.5 (Salt)

от 2019.2.6 до 2019.2.8 (Salt)

от 3000 до 3000.6 (Salt)

от 3001 до 3001.4 (Salt)

от 3002 до 3002.5 (Salt)

от 2016.3.0 до 2016.3.4 (Salt)

от 2018.2.0 до 2018.3.5 включительно (Salt)

- (Альт 8 СП)

до 2.5 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 10

Fedora Project Fedora 32

Fedora Project Fedora 33

Fedora Project Fedora 34

Сообщество свободного программного обеспечения Debian GNU/Linux 11

АО «ИВК» Альт 8 СП -

АО "НППКТ" ОСОН ОСнова Оnyx до 2.5

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для SaltStack Salt:

https://github.com/saltstack/salt/releases

Для Debian GNU/Linux:

https://lists.debian.org/debian-lts-announce/2021/11/msg00009.html

https://www.debian.org/security/2021/dsa-5011

Для Fedora:

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/

https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/

Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2021-3197
CVE

EPSS

Процентиль: 93%

0.09933

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2021-3197

CVSS3: 9.8

ubuntu

почти 5 лет назад

An issue was discovered in SaltStack Salt before 3002.5. The salt-api's ssh client is vulnerable to a shell injection by including ProxyCommand in an argument, or via ssh_options provided in an API request.

CVE-2021-3197

CVSS3: 7.5

redhat

почти 5 лет назад

CVE-2021-3197

CVSS3: 9.8

nvd

почти 5 лет назад

CVE-2021-3197

CVSS3: 9.8

debian

почти 5 лет назад

An issue was discovered in SaltStack Salt before 3002.5. The salt-api' ...

GHSA-8rp6-x3r7-5qw3

CVSS3: 9.8

github

больше 3 лет назад

SaltStack Salt is vulnerable to shell injection via ProxyCommand argument

EPSS

Процентиль: 93%

0.09933

Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2