预警编号:INSPUR-SA-202005-001
初始宣布时间:2020-05-22 14:18:10
更新宣布时间:2020-05-22 14:18:10
误差影响:
乐成使用上述误差可实现远程代码执行或导致PHP拒绝效劳�。�。。。
CVE-2020-11651:SaltStack认证绕过误差,攻击者通过结构恶意请求�,�,可以绕过Salt Master的验证逻辑�,�,挪用相关未授权函数功效�,�,从而可以造成远程下令执行误差�。�。。。
CVE-2020-11652:Salt Master目录遍历误差�,�,攻击者通过结构恶意请求�,�,读取效劳器上恣意文件�。�。。。
其他第三方组件误差:
CVE-2015-5589:PHP远程拒绝效劳误差
CVE-2016-2554:PHP基于栈的缓冲区溢出误差
CVE-2018-7584:PHP栈缓冲区溢出误差
CVE-2016-7568:PHP整数溢出误差
CVE-2019-9023:PHP缓冲区过失误差
CVE-2017-12933:PHP堆缓冲区溢出误差
CVSS评分:
| CVE |
V3.1 Vector(Base) |
Base Score |
V3.1 Vector(Temporal Score) |
Temporal Score |
| CVE-2020-11651 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
9.8 |
E:F/RL:O/RC:C |
9.1 |
| CVE-2020-11652 |
AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
6.5 |
E:F/RL:O/RC:C |
6 |
| CVE-2015-5589 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
9.8 |
E:U/RL:O/RC:C |
8.5 |
| CVE-2016-2554 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
9.8 |
E:P/RL:O/RC:C |
8.8 |
| CVE-2018-7584 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
9.8 |
E:P/RL:O/RC:C |
8.8 |
| CVE-2016-7568 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
9.8 |
E:U/RL:O/RC:C |
8.5 |
| CVE-2019-9023 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
9.8 |
E:P/RL:O/RC:C |
8.8 |
| CVE-2017-12933 |
AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
9.8 |
E:U/RL:O/RC:C |
8.5 |
受影响产品:
| 产品名称 |
受影响产品版本 |
修复补丁包/升级包版本 |
| AS13000 |
3.6.3.9 |
Salt-2015.8-AS13000--3.6.3.9-update.zip
php-5.6.40-AS13000-3.6.3.9-update.zip |
| AS13000 |
3.6.3.9-SP1 |
| AS13000 |
3.6.3.9-SP2 |
| AS13000 |
3.6.3.9-SP3 |
| AS13000 |
3.6.3.9-SP4 |
| AS13000 |
3.6.3.9-SP5 |
手艺细节:
误差使用条件:
CVE-2020-11651�,�,要求目的系统开启saltstack效劳(默认4506端口)�,�,并可以通过公网会见�。�。。。
误差详细形貌:
CVE-2020-11651�,�,该误差可被未经身份验证的远程攻击者通过发送特制的请求在minion端效劳器上执行恣意下令�。�。。。
误差解决计划:
请用户直接联系客户效劳职员或发送邮件至sun.meng@inspur.com�,�,获取补丁�,�,以及相关的手艺协助�。�。。。
FAQ:
无
更新纪录:
20200519-V1.0-Initial Release
yl6776永利集团清静应急响应对外效劳:
yl6776永利集团一直主张尽全力包管产品用户的最终利益�,�,遵照认真任的清静事务披露原则�,�,并通过产品清静问题处置惩罚机制处置惩罚产品清静问题�。�。。。
获取手艺支持:/lcjtww/2317452/2317456/2317460/index.html
选择语言
