关于 SaltStack 远程命令执行漏洞的情况说明

Posted 2021-05-01 小矩阵实验室

声明: 近日网络披露的 SaltStack 远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）对 XABC 的小矩阵运维管控平台无影响

我们向来秉持最小开放策略，默认的防火墙策略不会把应该内网使用的端口暴露在公网

总控机器 Central 调度管控各个独立节点的管控机器 Master 

管控机器 Master 调度管控本地网络区域的业务机器 Minion

所以我们部署系统默认生成的防火墙,总控机器[4505,4506]端口只允许来自各个 Master 机器源 IP,各个 Master 机器[4505,4506]端口只对私有网络开放

IP:

  CIDR-SYS:

    - 10.0.0.0/8

    - 100.0.0.0/8

    - 172.16.0.0/12

    - 192.168.0.0/16

当然网络层面的限制非常关键,而 SaltStack 本身漏洞也需要修复,根据我们的统计数据,目前大部分客户版本集中在 2019.2.0, 我们将分批次沟通关于此次 Salt-Master 版本升级到 2019.2.4 的工作,同时也将更新本地 SaltStack 私有源更新到 2019.2.4 版本,多说一句因为 SaltStack 3000 版本更新比较大,涉及一些 API 本身调用更新,所以我们还没有大规模的推送 SaltStack 3000 版本的更新

XABC From 小矩阵实验室 00:00 01:18