一、概要

近日，华为云关注到SaltStack官方发布安全公告，披露SaltStack产品多个安全漏洞：

CVE-2021-3197：(cvssV3.1：7.0 严重) 安装在minion上并运行了SSH模块的SaltAPI，Salt-API的SSH客户端容易受到Shell注入的攻击。默认情况下，该模块未运行；

CVE-2021-25281：(cvssV3.1：8.0 严重) Salt-API未校验wheel_async客户端的eauth凭据，攻击者可远程调用master上任意wheel模块；

CVE-2021-25282：(cvssV3.1：5.0 重要) salt.wheel.pillar_roots.write易受目录遍历影响；

CVE-2021-25283：(cvssV3.1：8.1 严重) 内置Jinja渲染引擎存在SSTI（Server Side Template Injection，服务端模板注入）漏洞；

CVE-2021-25284：(cvssV3.1：4.1 重要) webutils以明文形式将密码写入 /var/log/salt/minion，Salt的默认配置中不存在此问题；

CVE-2021-3148：(cvssV3.1：6.8 重要) salt.utils.thin.gen_thin（）中存在命令注入漏洞；

CVE-2020-35662：(cvssV3.1：7.4 严重) 默认情况下未验证SSL证书；

CVE-2021-3144：(cvssV3.1：7.4 严重) eauth令牌在过期后可以使用一次；

CVE-2020-28972：(cvssV3.1：7.4 严重) 缺少对SSL证书的验证，代码库无法验证服务器的SSL / TLS证书，这可能使攻击者可以通过中间人攻击获取敏感信息；

CVE-2020-28243：(cvssV3.1：7.0 严重) 当无特权的用户能够通过进程名称中的命令注入而在任何未列入黑名单的目录中创建文件时，SaltStack的Minion可以进行特权升级。

华为云提醒使用SaltStack用户及时安排自检并做好安全加固。

参考链接：Active SaltStack CVE Release 2021-FEB-25

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

SaltStack =< 3002.2

SaltStack =< 3001.4

SaltStack =< 3000.6

安全版本：

SaltStack >= 3002.3

SaltStack >= 3001.5

SaltStack >= 3000.7

四、漏洞处置

目前官方已发布版本修复了漏洞，请受影响的用户升级至安全版本，官方下载地址：https://repo.saltstack.com 。

注：修复漏洞前请将资料备份，并进行充分测试。