1、组件介绍

Salt基于python构建，使用简单易读的YAML与事件驱动的自动化相结合来部署和配置复杂的IT系统。Salt不仅应用于vRealize Automation SaltStack Config升级，还可以应用在Juniper，Cisco，Cloudflare，Nutanix，SUSE和Tieto等产品。

2、漏洞描述

2021年4月28日，深信服安全团队监测到一则Salt组件存在 SaltStack Minion 命令注入漏洞的信息，漏洞编号：CVE-2021-31607，漏洞威胁等级：中危。

该漏洞是由于在SaltStack Salt 2016.9至3002.6中，快照程序模块中存在一个命令注入漏洞，攻击者可利用该漏洞获得权限的情况下，对一个分支系统的本地特权进行升级。

SaltStack Salt是一种全新的基础设施管理方式，部署轻松，在几分钟内可运行起来，扩展性好，很容易管理上万台服务器，速度够快，服务器之间秒级通讯。全球有数十万资产，可能受漏洞影响的资产广泛分布于世界各地，中国存在资产3万多，主要分布在广东、山东、北京、上海等省市。

目前受影响的SaltStack 版本：

2016.9 < SaltStack < 3002.6

1、官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。链接如下：

https://repo.saltproject.io/index.html

2 、深信服解决方案

【深信服安全云眼】在漏洞爆发之初，已完成检测更新，对所有用户网站探测，保障用户安全。不清楚自身业务是否存在漏洞的用户，可注册信服云眼账号，获取30天免费安全体验。

注册地址：http://saas.sangfor.com.cn

【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布，部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响，避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力，可以连接云端升级的用户可自动获得漏洞检测能力。