PT-2020-5858 · Saltstack+3 · Saltstack Salt+3

Publicado

2016-11-21

·

Atualizado

2024-08-08

·

CVE-2020-17490

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
**Nome do software vulnerável e versões afetadas:
Versões do SaltStack Salt até a 3002
Descrição:
O problema está relacionado ao módulo TLS do SaltStack Salt, no qual os certificados são criados com permissões de arquivo fracas. Essa vulnerabilidade pode ser explorada para obter acesso a dados confidenciais. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado. Não há informações disponíveis sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações:
Para as versões do SaltStack Salt até a 3002, considere atualizar as permissões dos certificados criados pelo módulo TLS para impedir o acesso não autorizado.
Como solução temporária, considere restringir o acesso aos arquivos de certificados até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Incorrect Permission

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-732

Identificadores relacionados

ALT-PU-2016-2317
ALT-PU-2017-2801
ALT-PU-2018-2416
ALT-PU-2019-2322
ALT-PU-2019-2359
ALT-PU-2020-2668
ALT-PU-2020-2697
ALT-PU-2021-1591
ALT-PU-2021-1982
ALT-PU-2022-3218
BDU:2021-01902
CVE-2020-17490
DLA-2480-1
DSA-4837-1
GHSA-3C56-VX6V-Q5VH
OPENSUSE-SU-2020:1833-1
OPENSUSE-SU-2020:1868-1
OPENSUSE-SU-2020_1833-1
OPENSUSE-SU-2020_1868-1
PYSEC-2020-105
SUSE-SU-2020:14538-1
SUSE-SU-2020:3155-1
SUSE-SU-2020:3171-1
SUSE-SU-2020:3235-1
SUSE-SU-2020:3243-1
SUSE-SU-2020:3244-1
SUSE-SU-2020:3245-1
SUSE-SU-2020:3250-1
SUSE-SU-2020:3251-1
SUSE-SU-2020_14570-1
USN-6948-1

Produtos afetados

Alt Linux
Saltstack Salt
Suse
Ubuntu