一、概要

近日，華為云關注到SaltStack官方發(fā)布安全公告，披露SaltStack存在兩個嚴重級別的漏洞（CVE-2020-16846、CVE-2020-25592），影響所有運行Salt API的用戶。未經(jīng)身份驗證的攻擊者利用漏洞可實現(xiàn)遠程代碼執(zhí)行。

華為云提醒使用SaltStack的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

二、威脅級別

威脅級別：【嚴重】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

影響所有運行Salt API的用戶

四、漏洞處置

目前官方已提供補丁修復了漏洞，請受影響的用戶及時下載并安裝安全補丁。

以下SaltStack版本可在下載地址（ https://gitlab.com/saltstack/open/salt-patches ）中獲得補?。?span style="box-sizing: border-box">

3002

3001.1、3001.2

3000.3、3000.4

2019.2.5、2019.2.6

2018.3.5

2017.7.4、2017.7.8

2016.11.3、2016.11.6、2016.11.10

2016.3.4、2016.3.6、2016.3.8

2015.8.10、2015.8.13

若用戶使用的是Salt的舊版本，請用戶先升級到以上版本，再下載安裝相應的安全補丁。

注：修復漏洞前請將資料備份，并進行充分測試。