SaltStack แจ้งเตือนและปล่อยแพตช์ด้านความปลอดภัยสำหรับช่องโหว่ใหม่เมื่ออาทิตย์ที่ผ่านมา ช่องโหว่ที่ถูกแพตช์ในครั้งนี้นั้นมีทั้งหมด 3 ช่องโหว่ กระทบซอฟต์แวร์ Salt เวอร์ชัน 3002 และก่อนหน้า รายละเอียดช่องโหว่มีดังนี้
ช่องโหว่ CVE-2020-16846 (High/Critical) เป็นช่องโหว่ shell injection ใน Salt API เนื่องจากมีการใส่ option ในภาษา Pytrhon ที่ไม่ปลอดภัยเอาไว้ในโค้ด
ช่องโหว่ CVE-2020-25592 (High/Critical) เป็นช่องโหว่ authentication bypass ใน Salt API ซึ่งเกิดมาจากการตรวจสอบค่า "eauth" และ "token" ที่ไม่ถูกต้องเมื่อผู้ใช้งานเรียกใช้ Salt ssh
ช่องโหว่ CVE-2020-17490 (Low) เป็นช่องโหว่ที่เกิดจากการตั้งค่าสิทธิ์ที่ไม่เหมาะสมกับไฟล์ private key
แพตช์ช่องโหว่มีการปล่อยออกมาแล้วในเวอร์ชัน 3002.1, 3001.3, และ 3000.5 ขอให้ผู้ใช้งานทำการอัปเดตแพตช์เพื่อลดความเสี่ยงจากการถูกโจมตีโดยช่องโหว่ที่พึ่งถูกค้นพบโดยด่วน
ที่มา: bleepingcomputer