各部门各单位：

接上级有关部门通知，服务器基础架构集中化管理软件SaltStack存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。攻击者可利用认证绕过漏洞绕过SaltStack的验证逻辑，调用相关未授权函数，实现远程命令执行；也可通过构造恶意请求，利用目录遍历漏洞，读取服务器上任意文件。受影响的软件版本包括：版本号低于2019.2.4和3000.2的SaltStack版本。

鉴于上述漏洞潜在危害较大，请各部门各单位认真排查是否使用SaltStack软件，如有使用，请尽快采取以下措施处置：

一、将运行SaltStack的相关软硬件系统报信息化建设与管中心备案；

二、在确保安全的前提下，及时升级SaltStack软件版本，消除安全隐患，升级地址为：https://repo.saltstack.com；

三、设置访问控制策略，限制非信任IP访问SaltStack软件服务4505和4506端口。

发现攻击情况及时处置并报告信息化建设与管理中心，联系电话：85071139。

信息化建设与管理中心

2020年5月9日