安全预警 - 涉及美高梅美高部分产品的SaltStack RCE等漏洞安全更新-美高梅美高

服务器、存储、网络产品购买热线：400-860-6708 ERP、管理软件购买热线：400-018-7700云服务产品销售热线：400-607-6657

关于我们

加入我们

分析美高梅美高如何帮助企业开启数字未来

作为中国最具影响力的IT品牌之一，美高梅美高借计算之力，打造互联互通的数据生态，以数据之名，开启全新章程的世界文明。

查看更多视频 >

美高梅美高云会计

美高梅美高企业大数据: 主数据管理; 企业数据中台; 报表平台; 商务智能; 企业大脑

政府

美高梅美高民政云平台解决方案

美高梅美高民政云平台按照全国民政系统领先、政府部门一流的标准规划设计，平台融合民政业务管理、公共服务、大数据资源服务。

分析详情 >

企业

云数据中心解决方案

领域解决方案

系统服务

产品支持

美高梅美高资料库^New

一起探索“云+数+AI”的智慧海洋

服务支持

通用服务器 查看全部>

机架服务器: 2U双路服务器-NF5280M5; 1U双路服务器-NF5180M5; 4U四路服务器-NF8480M5; 查看全部

多节点服务器: 4U多节点服务器-i48; 2U多节点服务器-i24; 刀片式服务器-I9000; 查看全部

整机柜服务器: ODCC标准整机柜服务器-SR; OCP标准整机柜服务器-OR; 查看全部

塔式服务器与工作站: P8000工作站; 塔式服务器-NP5570M5; 塔式服务器NP3020M4; 查看全部

大规模云数据中心: ODCC标准整机柜服务器-SR; 2U多节点服务器-i24; 2U双路服务器-SA5212M5; 查看全部

海量数据存储: 4U双路存储服务器-NF5466M5; 2U双路存储服务器-NF5266M5; 查看全部

AI计算加速: 2U双路AI服务器-NF5288M5(AGX-2); 查看全部

企业关键应用: 4U8路服务器-TS860M5; 查看全部

开放计算: OCP标准整机柜服务器-OR; ODCC标准整机柜服务器-SR; 查看全部

K1 Power Systems 查看全部>

纵向扩展产品: K1 Power E980; K1 Power E950; K1 950; K1 910

横向扩展产品: FP5466G2; FP5295G2; FP5290G2; FP5280G2; K1 Power S914; K1 Power S922; K1 Power S924

存储 查看全部>

分布式存储: 分布式存储平台AS13000G5; 分布式存储AS13000G5-M; 分布式存储AS13000G5-C; 分布式存储AS13000G5-P

全闪存储: 全闪存储HF5000G5; 全闪存储AS5300/5500G2-F; 高端存储AS18000G5; 高端全闪存储HF18000G5; 中端全闪存储HF6000G5; 中端全闪存储HF5000G5

混闪存储: 混闪存储AS5500G2; 混闪存储AS5600G2; 高端存储AS18000G5; 中高端混闪存储AS5800G5; 中端混闪存储AS5500G5

固态硬盘: 高性能企业级固态硬盘NS8600G1

存储服务器: 存储服务器AS1300G2/1500G2/1600G2

数据管理与保护: 备份一体机DP1000G5; 备份一体机DP1000G5-C; 智能统一存储管理平台InView

光纤交换机: 光纤交换机FS8500; 光纤导向器FS9610/FS9620

人工智能 查看全部>

计算平台: AGX-5; AGX-2; NF5488M5; NF5468M5; NF5280M5; NF5280M5-V; F10A FPGA加速卡; F37X

资源平台: AIStation 训练平台; AIStation 推理平台; T-Eye

算法平台: AutoML Suite; TF2

高性能计算 查看全部>

计算节点: i48; i24; TS860M5

机柜HPC: InCloudRack; SR整机柜服务器

异构加速: AGX-5; AGX-2; F10A FPGA加速卡

并行存储: TStor3000; AS13000海量存储系统

高速网络: 高速融合的网络系统

集群管理: ClusterEngine

应用分析: Teye

行业一体机: 美高梅美高基因一体机

基础设施: 美高梅美高S1050 KVM; 美高梅美高新一代水冷机柜TS4280C

服务培训: 在线培训

负载均衡: 美高梅美高天梭TS8650G3; 美高梅美高天梭TS8650G2A

云海平台

云操作系统: 美高梅美高云海容器云平台InCloud K8S; 美高梅美高数据中心管理平台InCloud Manager; 美高梅美高超融合一体机InCloud Rail; 美高梅美高InCloud OpenStack云操作系统; 服务器虚拟化系统InCloud Sphere

集成系统 查看全部>

美高梅美高inMerge1000超融合一体机

企业级数据库 查看全部>

美高梅美高inData数据库一体机

美高梅美高K-DB数据库系统

美高梅美高K-DB集群数据库

数据中心基础设施 查看全部>

网络产品 查看全部>

美高梅美高网络数据中心产品: Inspur CN12900 系列路由交换机; Inspur CN12700系列交换机; Inspur CN9000系列交换机; Inspur CN61108PC-V-H交换机; 美高梅美高智能云引擎

美高梅美高网络智慧园区网产品: Inspur SC9600系列交换机; 美高梅美高IR12000-E系列智能路由器; 美高梅美高IR12000-H系列智能路由器; Inspur IAP5820i无线接入点; Inspur IAC系列智能无线控制接入管理器

通信软件产品 查看全部>

资产运营: 资源数据中心; 网络能力开放平台

业务运营: 无线网络优化平台; 掌上网优; 绿色数据中心一站式服务

服务运营: 流程平台; 应用质量管控; IMP移动应用平台; 知维

数据运营: 大数据能力开放平台; 数据交换共享平台; DevOps; 居民区4G&宽带网络能力全景分析; 有线宽带端到端业务质量分析

海外业务: OSS Fulfillment Solution; OSS Assurance Solution; Inventory Management

税务云终端 查看全部>

自助办税终端产品: 美高梅美高SOC芯片; 自助办税终端系统ARM

增值税开票终端: 增值税开票终端产品

自助服务终端产品: 多功能自助服务一体机; 自助填单机; 智能文件柜

金融智能终端 查看全部>

智慧柜员机系列: 美高梅美高标准版智慧柜员机; 美高梅美高打印版智慧柜员机; 美高梅美高票据版智慧柜员机; 美高梅美高保险版智慧柜员机; 美高梅美高证券版智慧柜员机

边柜系列: 美高梅美高大额现金边柜; 美高梅美高票据边柜; 美高梅美高回单边柜

轻型智能终端系列: 美高梅美高壁挂式终端; 美高梅美高分体式便携终端; 美高梅美高桌面式智能终端

排队机系列: 美高梅美高嵌入式排队机; 美高梅美高立式排队机

现金自助设备: 美高梅美高穿墙式自助取款机; 美高梅美高大堂式自助取款机; 美高梅美高穿墙式取款一体机; 美高梅美高大堂式取款一体机

政务自助终端: 美高梅美高e办事政务自助终端; 美高梅美高社保通智能终端; 美高梅美高社保即时制卡终端

教育自助终端: 美高梅美高教育自助打印终端

企业自助终端: 美高梅美高自助收银机

医疗智能终端 查看全部>

BCM1511TN(NHC)全功能自助终端

数字电视终端 查看全部>

美高梅美高智能电视狗

美高梅美高IPBS-9510智能超高清网络电视机顶盒

美高梅美高HMG-2100C智能媒体网关

美高梅美高STB-9712C智能超高清有线机顶盒

如何购买

美高梅美高官方商城

美高梅美高云官方商城

天元数据网

云ERP官方商城

加入我们

美高梅美高 > 安全通告 > 所有公告 > 安全预警

安全预警 - 涉及美高梅美高部分产品的SaltStack RCE等漏洞安全更新

预警编号：INSPUR-SA-202005-001

初始发布时间：2020-05-22 14:18:10

更新发布时间：2020-05-22 14:18:10

漏洞概述：

CVE-2020-11651：SaltStack认证绕过漏洞,攻击者顺利获得构造恶意请求，可以绕过Salt Master的验证逻辑，调用相关未授权函数功能，从而可以造成远程命令执行漏洞。
CVE-2020-11652：Salt Master目录遍历漏洞，攻击者顺利获得构造恶意请求，读取服务器上任意文件。
其他第三方组件漏洞：
CVE-2015-5589：PHP远程拒绝服务漏洞
CVE-2016-2554：PHP基于栈的缓冲区溢出漏洞
CVE-2018-7584：PHP栈缓冲区溢出漏洞
CVE-2016-7568：PHP整数溢出漏洞
CVE-2019-9023：PHP缓冲区错误漏洞
CVE-2017-12933：PHP堆缓冲区溢出漏洞

已完成修复的产品版本：

产品名称	受影响产品版本	修复补丁包/升级包版本
AS13000	3.6.3.9	Salt-2015.8-AS13000--3.6.3.9-update.zip php-5.6.40-AS13000-3.6.3.9-update.zip
AS13000	3.6.3.9-SP1
AS13000	3.6.3.9-SP2
AS13000	3.6.3.9-SP3
AS13000	3.6.3.9-SP4
AS13000	3.6.3.9-SP5

影响后果：

成功利用上述漏洞可实现远程代码执行或导致PHP拒绝服务。

漏洞得分：

CVE	V3.1 Vector(Base)	Base Score	V3.1 Vector(Temporal Score)	Temporal Score
CVE-2020-11651	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:F/RL:O/RC:C	9.1
CVE-2020-11652	AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N	6.5	E:F/RL:O/RC:C	6
CVE-2015-5589	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5
CVE-2016-2554	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2018-7584	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2016-7568	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5
CVE-2019-9023	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:P/RL:O/RC:C	8.8
CVE-2017-12933	AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H	9.8	E:U/RL:O/RC:C	8.5

技术细节：

漏洞利用条件：
CVE-2020-11651，要求目标系统开启saltstack服务（默认4506端口），并可以顺利获得公网访问。
漏洞详细描述：
CVE-2020-11651，该漏洞可被未经身份验证的远程攻击者顺利获得发送特制的请求在minion端服务器上执行任意命令。

版本获取链接：

请用户直接联系客户服务人员或发送邮件至sun.meng@lvzitang.com，获取补丁，以及相关的技术协助。

规避措施：

无

漏洞来源：

由国外某安全团队公开披露

更新记录：

20200519-V1.0-Initial Release

FAQs：

无

美高梅美高安全应急响应对外服务：

美高梅美高一贯主张尽全力保障产品用户的最终利益，遵循负责任的安全事件披露原则，并顺利获得产品安全问题处理机制处理产品安全问题。
反馈美高梅美高产品相关的安全问题,请邮件至美高梅美高PSIRT邮箱sec@lvzitang.com，详情参考：
http://www.lvzitang.com/lcjtww/2312126/2432763/index.html

美高梅美高官方商城

关于我们

云服务

大数据

企业管理软件

政府

企业

云数据中心解决方案

领域解决方案

系统服务

产品支持

美高梅美高资料库New

服务支持

云海平台

美高梅美高官方商城

关于美高梅美高

新闻与活动

探索美高梅美高

支持与服务

快速链接

拨打咨询电话

呼叫在线客服

美高梅美高资料库^New