ProHoster > Blog > litaba tsa inthanete > Bofokoli bo kotsi tsamaisong ea tlhophiso ea SaltStack

Bofokoli bo kotsi tsamaisong ea tlhophiso ea SaltStack

Lits'oants'o tse ncha tsa sistimi e bohareng ea taolo ea tlhophiso SaltStack 3002.5, 3001.6 le 3000.8 li behile ts'oaetso (CVE-2020-28243) e lumellang mosebelisi oa lehae ea se nang tokelo ea moamoheli ho eketsa litokelo tsa bona tsamaisong. Bothata bo bakoa ke kokoana-hloko ho sesebelisoa sa letsoai-minion se sebelisetsoang ho fumana litaelo ho tsoa ho setsi sa bohareng. Kotsi e ile ea sibolloa ka Pulungoana, empa e se e lokisitsoe.

Ha o etsa ts'ebetso ea "restartcheck", hoa khoneha ho kenya litaelo tse sa lumellaneng ka ho fetola lebitso la ts'ebetso. Ka ho khetheha, kopo ea ho ba teng ha sephutheloana e entsoe ka ho qala mookameli oa sephutheloana le ho fetisa khang e tsoang ho lebitso la ts'ebetso. Motsamaisi oa sephutheloana o qalisoa ka ho bitsa mosebetsi oa popen ka mokhoa oa ho qala likhetla, empa ntle le ho phonyoha litlhaku tse khethehileng. Ka ho fetola lebitso la ts'ebetso le ho sebelisa matšoao a kang ";" le "|" o ka hlophisa ts'ebetsong ea khoutu ea hau.

Ntle le bothata bo boletsoeng, SaltStack 3002.5 e lokisitse likotsi tse ling tse 9:

  • CVE-2021-25281 - ka lebaka la khaello ea netefatso e nepahetseng ea bolaoli, mohlaseli ea hole a ka qala module efe kapa efe ea mabili ka lehlakoreng la seva sa taolo ea taolo ka ho fihlella SaltAPI le ho sekisetsa lisebelisoa tsohle.
  • CVE-2021-3197 ke taba e teng mojuleng oa SSH bakeng sa minion e lumellang hore litaelo tsa khetla li ka phethoa ka phehisano ea likhang ka "ProxyCommand" kapa ho fetisa ssh_options ka API.
  • CVE-2021-25282 phihlello e sa lumelloeng ea wheel_async e lumella mohala ho SaltAPI ho ngola faele ka ntle ho bukana ea motheo le ho etsa khoutu e sa lumellaneng le sistimi.
  • CVE-2021-25283 A base directory out-of-bounds risker in the wheel.pillar_roots.write handler ho SaltAPI e lumella thempleite e sa reroang hore e eketsoe ho jinja render.
  • CVE-2021-25284 - li-password tse behiloeng ka li-webutils li ile tsa kenngoa ka mongolo o hlakileng ho /var/log/salt/minion log.
  • CVE-2021-3148 - Ho ka khoneha ho fana ka taelo ka mohala oa SaltAPI ho salt.utils.thin.gen_thin().
  • CVE-2020-35662 - netefatso e sieo ea setifikeiti sa SSL ho tlhophiso ea kamehla.
  • CVE-2021-3144 - Monyetla oa ho sebelisa li-tokens tsa netefatso ea euth kamora hore li feletsoe ke nako.
  • CVE-2020-28972 - Khoutu ha ea ka ea hlahloba setifikeiti sa SSL/TLS sa seva, se lumelletseng litlhaselo tsa MITM.

Source: opennet.ru

Eketsa ka tlhaloso