16
مارس
SaltStack، شرکتی که متعلق به Vmware است، وصله های امنیتی آسیب پذیری های شاخص و مهمی را که ورژن ۳۰۰۲ و ورژن های قبلی Salt، با آن مواجه بودند را منتشر کرد.
Salt ابزاری عالی برای مدیریت زیرساخت های IT می باشد که با زبان Python نوشته شده است که به صورت گسترده ای در دیتاسنتر های سراسر جهان مورد استفاده قرار می گیرد.
از shell injection تا بای پس احراز هویت
سه آسیب پذیری که قبلا اعلام شده بودند و به میزان دقت / شدت آنها در پرانتز آورده شده به شرح زیر می باشد:
- CVE-2020-16846 ( شدید، مهم): که تیم Salt آن را به عنوان shell injection از طریق احراز هویت معرفی کرد که با حذف کردن گزینه ی Shell True وصله گردید که هنگام تماس با Subprocess.call از طریق SSH رخ میدهد.
- CVE-2020-25592 ( شدید، مهم) :نقص authentication bypass در API،که وصله آن منتشر گردید و دقیقا با آسیب پذیری CVE-2020-16804 مرتبط است که توضیحی در مورد آن داده نشده است.
- CVE-2020-17440 ( خفیف): که مربوط به موضوع سطح دسترسی ها هنگام باز کردن و یا ذخیره کردن فایل های رمزنگاری کلید های private می باشد.
🎫 جزییات بیشتر در مورد آسیب پذیری های شاخص و مهم SaltStack در سال ۲۰۲۰