一、概要

近日，华为云关注到SaltStack官方发布安全公告，披露SaltStack存在两个严重级别的漏洞（CVE-2020-16846、CVE-2020-25592），影响所有运行Salt API的用户。未经身份验证的攻击者利用漏洞可实现远程代码执行。

华为云提醒使用SaltStack的用户尽快安排自检并做好安全加固。

参考链接：

https://www.saltstack.com/blog/on-november-3-2020-saltstack-publicly-disclosed-three-new-cves/

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响所有运行Salt API的用户

四、漏洞处置

目前官方已提供补丁修复了漏洞，请受影响的用户及时下载并安装安全补丁。

以下SaltStack版本可在下载地址（ https://gitlab.com/saltstack/open/salt-patches ）中获得补丁：

3002

3001.1、3001.2

3000.3、3000.4

2019.2.5、2019.2.6

2018.3.5

2017.7.4、2017.7.8

2016.11.3、2016.11.6、2016.11.10

2016.3.4、2016.3.6、2016.3.8

2015.8.10、2015.8.13

若用户使用的是Salt的旧版本，请用户先升级到以上版本，再下载安装相应的安全补丁。

注：修复漏洞前请将资料备份，并进行充分测试。