SaltStack rapporterar om flera kritiska sårbarheter i Salt Master, som bland annat gör det möjligt för en angripare att kringgå alla behörigheter och köra godtycklig kod på alla anslutna enheter. [1, 2]

Sårbarheterna är numrerade CVE-2020-11651 och CVE-2020-11652, båda har fått CVSS-klassificering 10.0. SaltStack har korrigerat sårbarheterna i den senaste versionen, 3000.2 samt i en patch, 2019.2.4. [3]

Påverkade produkter

Salt Master version 3000.1 och tidigare

Rekommendationer

CERT-SE rekommenderar att installera uppdateringen så snart som möjligt.

Källor

[1] https://github.com/saltstack/community/blob/master/doc/Community-Message.pdf
[2] https://labs.f-secure.com/advisories/saltstack-authorization-bypass
[3] https://www.us-cert.gov/ncas/current-activity/2020/05/01/saltstack-patches-critical-vulnerabilities-salt