关于 SaltStack 远程命令执行漏洞的情况说明

Posted 小矩阵实验室

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于 SaltStack 远程命令执行漏洞的情况说明相关的知识,希望对你有一定的参考价值。

声明: 近日网络披露的 SaltStack 远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)对 XABC 的小矩阵运维管控平台无影响

我们向来秉持最小开放策略,默认的防火墙策略不会把应该内网使用的端口暴露在公网


总控机器 Central 调度管控各个独立节点的管控机器 Master 

管控机器 Master 调度管控本地网络区域的业务机器 Minion

所以我们部署系统默认生成的防火墙,总控机器[4505,4506]端口只允许来自各个 Master 机器源 IP,各个 Master 机器[4505,4506]端口只对私有网络开放

IP:

  CIDR-SYS:

    - 10.0.0.0/8

    - 100.0.0.0/8

    - 172.16.0.0/12

    - 192.168.0.0/16


当然网络层面的限制非常关键,而 SaltStack 本身漏洞也需要修复,根据我们的统计数据,目前大部分客户版本集中在 2019.2.0, 我们将分批次沟通关于此次 Salt-Master 版本升级到 2019.2.4 的工作,同时也将更新本地 SaltStack 私有源更新到 2019.2.4 版本,多说一句因为 SaltStack 3000 版本更新比较大,涉及一些 API 本身调用更新,所以我们还没有大规模的推送 SaltStack 3000 版本的更新

XABC From 小矩阵实验室 01:18


以上是关于关于 SaltStack 远程命令执行漏洞的情况说明的主要内容,如果未能解决你的问题,请参考以下文章

风险提示天融信关于SaltStack远程命令执行漏洞风险提示

漏洞通告SaltStack远程命令执行漏洞

请马上修复!SaltStack远程命令执行漏洞

漏洞预警SaltStack远程命令执行漏洞

漏洞安全公告|SaltStack 远程命令执行漏洞(CVE-2020-11651/CVE-2020-11652)

漏洞风险提示SaltStack远程命令执行漏洞