S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 04 novembre 2020
N° CERTFR-2020-AVI-712
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans SaltStack

Gestion du document

Référence CERTFR-2020-AVI-712
Titre Multiples vulnérabilités dans SaltStack
Date de la première version04 novembre 2020
Date de la dernière version23 novembre 2020
Source(s) Bulletin de sécurité SaltStack du 03 novembre 2020
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Exécution de code arbitraire à distance

Systèmes affectés

  • SaltStack 2015.8.10, 2015.8.13 sans le dernier patch
  • SaltStack 2016.11.3, 2016.11.6, 2016.11.10 sans le dernier patch
  • SaltStack 2016.3.4, 2016.3.6, 2016.3.8 sans le dernier patch
  • SaltStack 2017.7.4, 2017.7.8 sans le dernier patch
  • SaltStack 2018.3.5 sans le dernier patch
  • SaltStack 2019.x sans le dernier package de sécurité
  • SaltStack 3000.x sans le dernier package de sécurité
  • SaltStack 3001.x sans le dernier package de sécurité
  • SaltStack 3002.x sans le dernier package de sécurité

Résumé

De multiples vulnérabilités ont été découvertes dans SaltStack. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 04 novembre 2020
    Version initiale
    le 23 novembre 2020
    Correction d'une coquille dans la source.