Bulletin d'alerte Debian

DLA-2815-1 salt -- Mise à jour de sécurité pour LTS

Date du rapport :
10 novembre 2021
Paquets concernés :
salt
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 987496, Bogue 987496.
Dans le dictionnaire CVE du Mitre : CVE-2020-28243, CVE-2020-28972, CVE-2020-35662, CVE-2021-3144, CVE-2021-3148, CVE-2021-3197, CVE-2021-25281, CVE-2021-25282, CVE-2021-25283, CVE-2021-25284, CVE-2021-31607.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans Salt, un puissant gestionnaire d'exécution à distance, qui permet une élévation locale de privilèges sur un client (« minion »), des attaques par injection de patron côté serveur, des vérifications insuffisantes pour des accréditations eauth, des injections d'interpréteur de commandes et de commandes ou une validation incorrecte de certificats SSL.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2016.11.2+ds-1+deb9u7.

Nous vous recommandons de mettre à jour vos paquets salt.

Pour disposer d'un état détaillé sur la sécurité de salt, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/salt.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.