構成管理ツール「SaltStack Salt」に複数の脆弱性(JPCERT/CC) | ScanNetSecurity
2026.05.16(土)

構成管理ツール「SaltStack Salt」に複数の脆弱性(JPCERT/CC)

JPCERT/CCは、「SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起」を発表した。

脆弱性と脅威 セキュリティホール・脆弱性
32 views
facebookLINE
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は5月7日、「SaltStack Salt の複数の脆弱性 (CVE-2020-11651, CVE-2020-11652) に関する注意喚起」を発表した。「Salt」は、SaltStackが提供する構成管理ツール。Saltには複数の脆弱性があり、JPCERT/CCではこのうち2つの脆弱性について、実証したとするコードや、悪用したとされる情報を確認している。

対象となる製品およびバージョンは次の通り。

・Salt versions 2019.2.3 およびそれ以前
・Salt versions 3000.1 およびそれ以前

なお、すでにサポートが終了している SaltStack Salt 2015.8 系、2016.3 系、2016.11 系、2017.7 系、2018.3 系のバージョンも本脆弱性の影響を受ける。

これらのバージョンの製品には、悪用されるとリモートから認証不要でマスターサーバ上のユーザトークンが窃取されたり、管理対象サーバ上で任意のコマンドを実行されたりするなどの影響を受ける可能性のある脆弱性が存在する。JPCERT/CCの定点観測システム「TSUBAME」では、マスターサーバが使用するポート (4505/TCP宛や、4506/TCP宛) へのスキャンを確認している。

SaltStackからは、脆弱性を修正したバージョンのSaltが公開されているため、十分なテストを実施の上、修正済みのバージョンの適用を検討するよう呼びかけている。また、すでにサポートが終了しているバージョンを使用している場合は、サポート対象のバージョンへのアップデートを強く推奨している。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

関連リンク

PageTop

アクセスランキング

  1. マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる

    マネーフォワードが利用する「GitHub」の認証情報が漏えい、リポジトリがコピーされる

  2. あいおいニッセイ同和損害保険からの出向者がトヨタ自動車の内部情報を不適切に提供

    あいおいニッセイ同和損害保険からの出向者がトヨタ自動車の内部情報を不適切に提供

  3. マルタケの一部サーバでのシステム障害、不正アクセス(ランサムウェア)による影響の可能性も含め調査

    マルタケの一部サーバでのシステム障害、不正アクセス(ランサムウェア)による影響の可能性も含め調査

  4. ファイルが暗号化されておりランサムウェアである可能性が高い ~ オーミケンシへのサイバー攻撃によるシステム障害

    ファイルが暗号化されておりランサムウェアである可能性が高い ~ オーミケンシへのサイバー攻撃によるシステム障害

  5. 第一工業にサイバー攻撃、一部のサーバでシステム障害が発生

    第一工業にサイバー攻撃、一部のサーバでシステム障害が発生

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP