2020-2413: Salt: Mehrere Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2020-11-05 15:13)

Neues Advisory

Version 2 (2020-11-05 20:51)

Für SUSE Enterprise Storage 5 und openSUSE Leap 15.2 stehen Sicherheitsupdates für 'salt' zur Behebung der aufgeführten Schwachstellen zur Verfügung.

Version 3 (2020-11-06 11:17)

Für Fedora 31, 32 und 33 stehen Sicherheitsupdates in Form der Pakete 'salt-3001.3-1.fc31', 'salt-3001.3-1.fc32' und 'salt-3002.1-1.fc33' im Status 'stable' zur Verfügung, um die Schwachstellen zu beheben.

Version 4 (2020-11-09 12:03)

Für openSUSE Leap 15.1 sowie SUSE Linux Enterprise Server 11 SP3 und 11 SP4 CLIENT-TOOLS, SUSE Manager Tools 12, SUSE Linux Enterprise Module for Advanced Systems Management 12, SUSE Manager Ubuntu 16.04 und 20.04 CLIENT-TOOLS, SUSE Manager Proxy 3.2, SUSE Manager Server 3.2, SUSE Linux Enterprise Module for SUSE Manager Server 4.0, Module for Server Applications 15 SP1, Module for Python2 15 SP1 und Module for Basesystem 15 SP1, SUSE Linux Enterprise Server for SAP 15, SUSE Linux Enterprise Server 15 LTSS und SUSE Linux Enterprise High Performance Computing 15 ESPOS / LTSS stehen Sicherheitsupdates für 'salt' bzw. 'SUSE Manager' bereit, um die drei Schwachstellen zu beheben.

Version 5 (2020-12-07 09:13)

Für Debian 9 Stretch (LTS) steht ein Sicherheitsupdate für 'salt' in Version 2016.11.2+ds-1+deb9u6 zur Behebung der Schwachstellen bereit.

Version 6 (2020-12-16 08:38)

Für SUSE Linux Enterprise Server 11 SP3 und 11 SP4 CLIENT-TOOLS stehen Sicherheitsupdates zur Behebung der Schwachstellen in SUSE Manager Client Tools zur Verfügung.

Version 7 (2021-01-25 09:27)

Für Debian 10 Buster (stable) steht ein Sicherheitsupdate für 'salt' in Version 2018.3.4+dfsg1-6+deb10u2 bereit, um die Schwachstellen zu beheben.

Betroffene Software

Netzwerk

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann zwei Schwachstellen aus der Ferne ausnutzen, um Sicherheitsvorkehrungen zu umgehen und beliebigen Programmcode auszuführen. Eine weitere Schwachstelle kann von einem Angreifer lokal ausgenutzt werden, um Informationen auszuspähen. Für die Ausnutzung der Schwachstellen sind keine Privilegien erforderlich.

Für die SUSE Linux Enterprise Produkte Module for Server Applications, Module for Python2 und Module for Basesystem jeweils in der Version 15 SP2 stehen Sicherheitsupdate für 'salt' zur Behebung der Schwachstellen bereit.

Schwachstellen:

CVE-2020-16846

Schwachstelle in Salt ermöglicht Ausführung beliebigen Programmcodes

CVE-2020-17490

Schwachstelle in Salt ermöglicht Ausspähen von Informationen

CVE-2020-25592

Schwachstelle in Salt ermöglicht Umgehen von Sicherheitsvorkehrungen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.