情報源
US-CERT Current Activity
SaltStack Patches Critical Vulnerabilities in Salt
https://www.us-cert.gov/ncas/current-activity/2020/05/01/saltstack-patches-critical-vulnerabilities-salt
概要
SaltStack Salt には、複数の脆弱性があります。 結果として、遠隔の第三者
が任意のコマンドを実行するなどの可能性があります。
対象となるバージョンは次のとおりです。
– Salt 2019.2.4 より前のバージョン
– Salt 3000.2 より前の 3000 系バージョン
なお、既にサポートが終了している SaltStack Salt 2015.8 系、2016.3 系、
2016.11 系、2017.7 系、2018.3 系のバージョンも影響を受けるとのことです。
この問題は、Salt を SaltStack が提供する修正済みのバージョンに更新する
ことで解決します。詳細は、SaltStack が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC
SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起
https://www.jpcert.or.jp/at/2020/at200020.html
関連文書(英語)
SaltStack
Salt 2019.2.4 Release Notes
https://docs.saltstack.com/en/latest/topics/releases/2019.2.4.html
SaltStack
Salt 3000.2 Release Notes
https://docs.saltstack.com/en/latest/topics/releases/3000.2.html
SaltStack
Critical Vulnerabilities Update: CVE-2020-11651 and CVE-2020-11652
https://community.saltstack.com/blog/critical-vulnerabilities-update-cve-2020-11651-and-cve-2020-11652/
引用元:JPCERTコーディネーションセンター
「JPCERT/CC WEEKLY REPORT 2020-05-13」
https://www.jpcert.or.jp/wr/2020/wr201801.html