В популярной системе удаленного управления выявлены критические уязвимости

Критические уязвимости, позволяющие выполнить произвольный код на целевых серверах, обнаружены экспертами компании F-Secure в популярной системе удаленного управления конфигурациями SaltStack Salt, информирует 2 мая портал Securitylab.ru.

В частности сообщается, что выявленные уязвимости, внесенные в реестр как CVE-2020-11651 и CVE-2020-11652, являются критическими. Они затрагивают используемый системой протокол ZeroMQ.

Согласно разъяснениям исследователей F-Secure, при эксплуатации уязвимости злоумышленник может получить неавторизованный доступ к файловой системе управляющего узла (salt master), что в конечном счете позволит ему выполнять произвольные команды на управляемых серверах (salt minion).

Отмечается, что эксперты F-Secure обнаружили уязвимости еще в марте 2020 года, после чего сообщили о них разработчику. И лишь после выхода исправления безопасности Salt 3000.2 информация о проблемах была опубликована на специализированных сайтах.