FreeBSD:py-salt -- 潛在的 shell 插入弱點 (865863af-fb5e-11e4-8fda-002590263bf5)
high Nessus Plugin ID 83798
語系:
概要
遠端 FreeBSD 主機缺少安全性相關更新。說明
Colton Myers 報告:為了修正 salt 模組中的潛在 shell 插入弱點,已對多種 cmd 模組函式進行變更。
這些函式現預設為 python_shell=False,這表示不會將命令傳送至實際的 shell。
此變更的最大副作用是管道等 'shellisms' 預設將無法使用。salt 隨附的模組已經過稽核,修正了可能因此變更所引起的任何問題。此外,cmd 狀態模組已不受影響,且在 jinja 中使用 cmd.run 也不受影響。在 CLI 上的 cmd.run 呼叫也將允許 shellisms。
但是,在 cmd 呼叫中使用 shellisms 的自訂執行模組將會中斷,除非您將 python_shell=True 傳送至這些呼叫。
作為暫時因應措施,您可以在您的附屬與主要組態中設定 cmd_safe: False。這將還原預設,但也比較不安全,因為它會允許將 shell 插入弱點寫入至自訂程式碼中。我們建議您,不管在您的自訂程式碼中需要花多久時間解決這些問題,都只設定此設定,然後移除覆寫。
解決方案
更新受影響的套件。另請參閱
http://docs.saltstack.com/en/latest/topics/releases/2015.5.0.html
Plugin 詳細資訊
嚴重性: High
ID: 83798
檔案名稱: freebsd_pkg_865863affb5e11e48fda002590263bf5.nasl
版本: 2.4
類型: local
已發布: 2015/5/26
已更新: 2021/1/6
支援的感應器: Nessus
弱點資訊
CPE: p-cpe:/a:freebsd:freebsd:py27-salt, cpe:/o:freebsd:freebsd
必要的 KB 項目: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info
修補程式發佈日期: 2015/5/24
弱點發布日期: 2015/5/11