尊敬的腾讯云用户，您好！

近日，腾讯云安全运营中心监测到，国外安全团队披露了 SaltStack  管理框架的多个安全漏洞（CVE-2020-11651/CVE-2020-11652），攻击者可利用该漏洞实现远程代码执行。

为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。

漏洞详情

Saltstack是基于python开发的一套C/S自动化运维工具。

近日，SaltStack被爆存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652），其中：

CVE-2020-11651：为认证绕过漏洞，攻击者可构造恶意请求，绕过Salt Master的验证逻辑，调用相关未授权函数功能，达到远程命令执行目的。

CVE-2020-11652：为目录遍历漏洞，攻击者可构造恶意请求，读取服务器上任意文件，获取系统敏感信息信息。

风险等级

高风险

漏洞风险

远程代码执行，获取系统敏感信息

影响版本

SaltStack < 2019.2.4

SaltStack < 3000.2

修复版本

SaltStack 2019.2.4 及 3000.2

修复建议

SaltStack 官方已发布新版本修复上述漏洞，腾讯云安全建议您：

1. 升级至修复版本，下载地址参考：https://repo.saltstack.com

2. 设置安全组，禁止 Salt Master默认监听端口（默认4505 和 4506）对公网开放或只允许可信IP访问默认监听端口。

若机器已出现异常情况，用户可执行如下操作：

一、木马处理：

1）机器无法登录，或者外网无法连接。

      重启服务器。

2）发现CPU异常，请执行如下命令：

  kill -9 $(pgrep salt-minions)

  kill -9 $(pgrep salt-store)

  rm -f /var/tmp/salt-minions /tmp/salt-minions

  rm -f /var/tmp/salt-store /tmp/salt-store

  sed -i '/kernel.nmi_watchdog/d' /etc/sysctl.conf

二、恢复主机防护和云服务器监控组件：

      安装barad_agent和stargate组件：https://cloud.tencent.com/document/product/248/6211

      安装云镜：https://cloud.tencent.com/document/product/296/12236

【备注】：建议您在安装补丁前做好系统快照，避免出现意外

漏洞参考

1）外部安全通告：https://labs.f-secure.com/advisories/saltstack-authorization-bypass

2）外部媒体报道：https://www.securityweek.com/critical-vulnerability-salt-requires-immediate-patching