Bulletin d'alerte Debian

DLA-2223-1 salt -- Mise à jour de sécurité pour LTS

Date du rapport :
30 mai 2020
Paquets concernés :
salt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 959684.
Dans le dictionnaire CVE du Mitre : CVE-2020-11651, CVE-2020-11652.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans le paquet salt, un logiciel de gestion automatique de configuration et d’infrastructure.

  • CVE-2020-11651

    La classe ClearFuncs du processus salt-master ne validait pas correctement les appels de méthode. Cela permettait à un utilisateur distant d’accéder à quelques méthodes sans authentification. Ces méthodes pouvaient être utilisées pour récupérer des jetons du salt-master ou exécuter des commandes arbitraires sur des salt-minions.

  • CVE-2020-11652

    La classe ClearFuncs du processus salt-master permettait d’accéder à quelques méthodes qui ne nettoyaient pas correctement les chemins. Ces méthodes permettaient un accès à des répertoires arbitraires aux utilisateurs authentifiés.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 2014.1.13+ds-3+deb8u1.

Nous vous recommandons de mettre à jour vos paquets salt.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.