PT-2021-6507 · Saltstack+2 · Saltstack Salt+2

Jonathan Schlue

·

Publicado

2020-08-25

·

Atualizado

2023-12-21

·

CVE-2021-21996

CVSS v3.1

7.5

Alta

VetorAV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do SaltStack Salt anteriores à 3003.3
Descrição
A vulnerabilidade está relacionada à divulgação de informações na área de dados de erro do sistema de gerenciamento de configuração e execução remota do Salt. A exploração dessa vulnerabilidade permite que um invasor remoto acesse dados confidenciais, comprometa sua integridade e cause uma negação de serviço. Um usuário que tenha controle das URLs source e source hash pode obter acesso total ao sistema de arquivos como root em um salt minion.
Recomendações
Para versões do SaltStack Salt anteriores à 3003.3, atualize para a versão 3003.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso às URLs source e source hash para minimizar o risco de exploração.

Correção

Exposure of Resource to Wrong Sphere

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-668

Identificadores relacionados

ALT-PU-2020-2668
ALT-PU-2020-2697
ALT-PU-2022-3218
BDU:2022-01766
CVE-2021-21996
DLA-2823-1
DLA-2823-2
DSA-5011-1
GHSA-PF7H-H2WQ-M7PG
OPENSUSE-SU-2021:1443-1
OPENSUSE-SU-2021:3557-1
OPENSUSE-SU-2021_1443-1
OPENSUSE-SU-2021_3557-1
OPENSUSE-SU-2024:11364-1
PYSEC-2021-318
SUSE-RU-2021:3551-1
SUSE-SU-2021:14833-1
SUSE-SU-2021:3550-1
SUSE-SU-2021:3553-1
SUSE-SU-2021:3555-1
SUSE-SU-2021:3556-1
SUSE-SU-2021:3557-1
SUSE-SU-2021:3561-1
SUSE-SU-2021:3621-1
SUSE-SU-2021:3906-1
SUSE-SU-2021:3908-1
SUSE-SU-2021_14833-1
SUSE-SU-2021_3550-1
SUSE-SU-2021_3553-1
SUSE-SU-2021_3555-1
SUSE-SU-2021_3556-1
SUSE-SU-2021_3557-1

Produtos afetados

Alt Linux
Saltstack Salt
Suse