关于 SaltStack 远程命令执行漏洞的情况说明
Posted 小矩阵实验室
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于 SaltStack 远程命令执行漏洞的情况说明相关的知识,希望对你有一定的参考价值。
声明: 近日网络披露的 SaltStack 远程命令执行漏洞(CVE-2020-11651、CVE-2020-11652)对 XABC 的小矩阵运维管控平台无影响
我们向来秉持最小开放策略,默认的防火墙策略不会把应该内网使用的端口暴露在公网
总控机器 Central 调度管控各个独立节点的管控机器 Master
管控机器 Master 调度管控本地网络区域的业务机器 Minion
所以我们部署系统默认生成的防火墙,总控机器[4505,4506]端口只允许来自各个 Master 机器源 IP,各个 Master 机器[4505,4506]端口只对私有网络开放
IP:
CIDR-SYS:
- 10.0.0.0/8
- 100.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
当然网络层面的限制非常关键,而 SaltStack 本身漏洞也需要修复,根据我们的统计数据,目前大部分客户版本集中在 2019.2.0, 我们将分批次沟通关于此次 Salt-Master 版本升级到 2019.2.4 的工作,同时也将更新本地 SaltStack 私有源更新到 2019.2.4 版本,多说一句因为 SaltStack 3000 版本更新比较大,涉及一些 API 本身调用更新,所以我们还没有大规模的推送 SaltStack 3000 版本的更新
以上是关于关于 SaltStack 远程命令执行漏洞的情况说明的主要内容,如果未能解决你的问题,请参考以下文章
风险提示天融信关于SaltStack远程命令执行漏洞风险提示