[漏洞預警] SaltStack 遠程命令執行漏洞（CVE-2020-16846）

2020年11月4日，阿里云應急響應中心監測到近日SaltStack官方發布安全更新，修復了包括 CVE-2020-16846 遠程命令執行漏洞在內的多個漏洞。

漏洞描述

SaltStack是基于Python開發的一套C/S架構配置管理工具。近日SaltStack官方發布安全更新，修復了包括 CVE-2020-16846 遠程命令執行漏洞在內的多個漏洞。在CVE-2020-16846 遠程命令執行漏洞中，攻擊者通過構造惡意請求，通過操作SaltStack API接口，從而執行命令并控制服務器。阿里云應急響應中心提醒SaltStack用戶盡快采取安全措施阻止漏洞攻擊。

影響版本

• SaltStack < 3002.1

• SaltStack < 3001.3

• SaltStack < 3000.5

• SaltStack < 2019.2.7

安全版本

• 3002.1

• 3001.3

• 3000.5

• 2019.2.7

安全建議

1. 升級至安全版本及其以上，升級前建議做好快照備份措施。安全版本下載地址參考：repo.saltstack.com

2. 設置SaltStack為自動更新，及時獲取相應補丁。