简介
SaltStack是使用Python开发的一个服务器基础架构集中化管理平台,底层采用动态的连接总线,使其可以用于编配,远程执行, 配置管理等等。
Salt非常容易设置和维护,而不用考虑项目的大小。从数量可观的本地网络系统,到跨数据中心的互联网部署,Salt设计为在任意数量的server下都可工作。
Salt的拓扑使用简单的server/client模式,需求的功能内建在一组daemon中。
salt在几乎不改动配置的情况下就可以工作,也可以调整从而满足特定的需求。
影响版本
在2020年5月初,国外某安全团队披露了SaltStack存在认证绕过漏洞(CVE-2020-11651)和目录遍历漏洞(CVE-2020-11652)。
攻击者可以通过构造恶意请求绕过Salt Master的验证逻辑,调用相关未授权函数可以实现远程命令执行、目录遍历等。
SaltStack < 2019.2.4
SaltStack < 3000.2环境部署
这里使用vulhub和docker搭建环境
cd /vulhub/saltstack/CVE-2020-11651
访问界面如下:
