PT-2021-2354 · Suse+3 · Suse Linux Enterprise Server+4

Marcus Meissner

·

Publicado

2021-02-17

·

Atualizado

2023-06-22

·

CVE-2021-25315

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
SUSE Linux Enterprise Server 15 SP 3: versões do Salt anteriores à 3002.2-3
openSUSE Tumbleweed: versão 3002.2-2.1 do Salt e versões anteriores
Descrição
O problema está relacionado a uma implementação incorreta do algoritmo de autenticação no SaltStack Salt, permitindo que invasores locais executem código arbitrário via Salt sem especificar credenciais válidas. Isso pode ser explorado para obter acesso não autorizado.
Recomendações
Para o SUSE Linux Enterprise Server 15 SP 3, versões do Salt anteriores à 3002.2-3, atualize para a versão 3002.2-3 ou posterior.
Para o openSUSE Tumbleweed, versão 3002.2-2.1 e versões anteriores do Salt, atualize para uma versão posterior à 3002.2-2.1.
Como solução alternativa temporária, considere restringir o acesso à funcionalidade do Salt até que um patch seja aplicado.

Correção

Improper Authentication

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-287CWE-303

Identificadores relacionados

ALT-PU-2021-1591
ALT-PU-2021-1982
ALT-PU-2022-3218
BDU:2021-01592
CVE-2021-25315
GHSA-PMJ6-9F8C-8G2M
OPENSUSE-SU-2021:0899-1
OPENSUSE-SU-2021:2106-1
OPENSUSE-SU-2021_0899-1
OPENSUSE-SU-2021_2106-1
OPENSUSE-SU-2024:11364-1
PYSEC-2021-891
SUSE-SU-2021:0914-1
SUSE-SU-2021:2104-1
SUSE-SU-2021:2105-1
SUSE-SU-2021:2106-1
SUSE-SU-2021_2104-1

Produtos afetados

Alt Linux
Suse Linux Enterprise Server
Saltstack Salt
Suse
Opensuse Tumbleweed