Debians sikkerhedsbulletin

DSA-2314-1 puppet -- flere sårbarheder

Rapporteret den:
3. okt 2011
Berørte pakker:
puppet
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2011-3848, CVE-2011-3870, CVE-2011-3869, CVE-2011-3871.
Yderligere oplysninger:

Flere sikkerhedsproblemer er opdaget i puppet, et centraliseret system til håndtering af opsætninger. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2011-3848

    Kristian Erik Hermansen rapporterede at et uautentificeret mappegenneløb kunne smide en vilkårlig, gyldig X.509 Certificate Signing Request par et vilkårlig sted på disken, med rettighederne hørend til applikationen Puppet Master.

  • CVE-2011-3870

    Ricky Zhou opdagede en potentiel lokal rettighedsforøgelse i ressourcen ssh_authorized_keys og teoretisk i Solaris- og AIX-providere, hvor filejerskab blev givet væk før den var skrevet, førende til en mulighed for en bruger, til at overskrive vilkårlige filer som root, hvis dennes authorized_keys-fil blev håndteret af programmet.

  • CVE-2011-3869

    Et forudsigeligt filnavn i k5login-type førte til muligheden for symlinkangreb, hvilke kunne gøre det muligt for ejeren af home-mappen, at symlinke til noget vilkårligt på systemet, og erstatte det med filens korrekte indhold, som kunne føre til en rettighedsforøgelse når puppet kørte.

  • CVE-2011-3871

    En potentiel lokal rettighedsforøgelse blev fundet i puppet resources --edit-tilstand, på grund af et persistent, forudsigeligt filnavn, hvilket kunne medføre redigering af en vilkårlig målfil, og dermed blive narret til at køre denne vilkårlig fil, som den kaldende bruger. Kommandoen anvendes især som root, dermed førende til en potentiel rettighedsforøgelse.

Desuden stærker denne opdatering indirector file backed terminus base-klassen mod indsprøjtnignsangreb baseret på stinavne, der er tillid til.

I den gamle stabile distribution (lenny), vil dette problem snart blive rettet.

I den stabile distribution (squeeze), er dette problem rettet i version 2.6.2-5+squeeze1.

I distributionen testing (wheezy), er dette problem rettet i version 2.7.3-3.

I den ustabile distribution (sid), er dette problem rettet i version 2.7.3-3.

Vi anbefaler at du opgraderer dine puppet-pakker.