Описание
Уязвимость системы управления конфигурациями и удалённого выполнения операций SaltStack Salt связана с ошибками процедуры подтверждения подлинности сертификата. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить атаку типа «человек посередине»
Вендор
Сообщество свободного программного обеспечения
Novell Inc.
Fedora Project
SaltStack, Inc
АО «ИВК»
АО "НППКТ"
Наименование ПО
Debian GNU/Linux
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Fedora
OpenSUSE Leap
Salt
Suse Linux Enterprise Desktop
Альт 8 СП
ОСОН ОСнова Оnyx
Версия ПО
9 (Debian GNU/Linux)
12 SP3 (SUSE Linux Enterprise Server for SAP Applications)
12 SP4 (SUSE Linux Enterprise Server for SAP Applications)
12 SP3 (Suse Linux Enterprise Server)
12 SP4 (Suse Linux Enterprise Server)
15 (SUSE Linux Enterprise Server for SAP Applications)
15 SP1 (SUSE Linux Enterprise Server for SAP Applications)
12 SP5 (Suse Linux Enterprise Server)
12 SP5 (SUSE Linux Enterprise Server for SAP Applications)
10 (Debian GNU/Linux)
15-LTSS (Suse Linux Enterprise Server)
12 (SUSE Linux Enterprise Server for SAP Applications)
32 (Fedora)
33 (Fedora)
15.2 (OpenSUSE Leap)
15 SP1-BCL (Suse Linux Enterprise Server)
15 SP1-LTSS (Suse Linux Enterprise Server)
до 3002.5 (Salt)
34 (Fedora)
11 (Debian GNU/Linux)
12 (Suse Linux Enterprise Server)
до 2015.8.10 (Salt)
от 2015.8.11 до 2015.8.13 (Salt)
от 2016.3.5 до 2016.3.6 (Salt)
от 2016.3.7 до 2016.3.8 (Salt)
от 2016.3.9 до 2016.11.3 (Salt)
от 2016.11.4 до 2016.11.5 (Salt)
от 2016.11.7 до 2016.11.10 (Salt)
от 2017.5.0 до 2017.7.8 (Salt)
от 2018.2.0 до 2018.3.5 (Salt)
от 2019.2.0 до 2019.2.5 (Salt)
от 2019.2.6 до 2019.2.8 (Salt)
от 2016.3.0 до 2016.3.4 (Salt)
15 SP3 (Suse Linux Enterprise Server)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3 (Suse Linux Enterprise Desktop)
15 SP2 (Suse Linux Enterprise Server)
15 SP2 (SUSE Linux Enterprise Server for SAP Applications)
- (Альт 8 СП)
15 SP4 (Suse Linux Enterprise Server)
15 SP2 (Suse Linux Enterprise Desktop)
15 SP4 (Suse Linux Enterprise Desktop)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
до 2.5 (ОСОН ОСнова Оnyx)
до 3001.6 (Salt)
до 3000.8 (Salt)
11 SP3-CLIENT-TOOLS (Suse Linux Enterprise Server)
11 SP4-CLIENT-TOOLS (Suse Linux Enterprise Server)
Тип ПО
Операционная система
Прикладное ПО информационных систем
Операционные системы и аппаратные платформы
Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP4
Novell Inc. Suse Linux Enterprise Server 12 SP3
Novell Inc. Suse Linux Enterprise Server 12 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP1
Novell Inc. Suse Linux Enterprise Server 12 SP5
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12 SP5
Сообщество свободного программного обеспечения Debian GNU/Linux 10
Novell Inc. Suse Linux Enterprise Server 15-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 12
Fedora Project Fedora 32
Fedora Project Fedora 33
Novell Inc. OpenSUSE Leap 15.2
Novell Inc. Suse Linux Enterprise Server 15 SP1-BCL
Novell Inc. Suse Linux Enterprise Server 15 SP1-LTSS
Fedora Project Fedora 34
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Novell Inc. Suse Linux Enterprise Server 12
Novell Inc. Suse Linux Enterprise Server 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. Suse Linux Enterprise Desktop 15 SP3
Novell Inc. Suse Linux Enterprise Server 15 SP2
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP2
АО «ИВК» Альт 8 СП -
Novell Inc. Suse Linux Enterprise Server 15 SP4
Novell Inc. Suse Linux Enterprise Desktop 15 SP2
Novell Inc. Suse Linux Enterprise Desktop 15 SP4
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
АО "НППКТ" ОСОН ОСнова Оnyx до 2.5
Novell Inc. Suse Linux Enterprise Server 11 SP3-CLIENT-TOOLS
Novell Inc. Suse Linux Enterprise Server 11 SP4-CLIENT-TOOLS
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,4)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для SaltStack Salt:
https://saltproject.io/security_announcements/active-saltstack-cve-release-2021-feb-25/
Для Fedora:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7GRVZ5WAEI3XFN2BDTL6DDXFS5HYSDVB/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FUGLOJ6NXLCIFRD2JTXBYQEMAEF2B6XH/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/YOGNT2XWPOYV7YT75DN7PS4GIYWFKOK5/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2020-35662
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2020-35662.html
Для ОСОН ОСнова Оnyx:Обновление программного обеспечения salt до версии 2018.3.4+dfsg1-6+deb10u3
Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 70%
0.00637
Низкий
7.4 High
CVSS3
7.1 High
CVSS2
Связанные уязвимости
CVSS3: 7.4
ubuntu
почти 5 лет назад
In SaltStack Salt before 3002.5, when authenticating to services using certain modules, the SSL certificate is not always validated.
CVSS3: 7.4
redhat
почти 5 лет назад
In SaltStack Salt before 3002.5, when authenticating to services using certain modules, the SSL certificate is not always validated.
CVSS3: 7.4
nvd
почти 5 лет назад
In SaltStack Salt before 3002.5, when authenticating to services using certain modules, the SSL certificate is not always validated.
CVSS3: 7.4
debian
почти 5 лет назад
In SaltStack Salt before 3002.5, when authenticating to services using ...
CVSS3: 7.4
github
больше 3 лет назад
SaltStack Salt Improper SSL Certificate Validation
EPSS
Процентиль: 70%
0.00637
Низкий
7.4 High
CVSS3
7.1 High
CVSS2