Debians sikkerhedsbulletin

DSA-2419-1 puppet -- flere sårbarheder

Rapporteret den:
27. feb 2012
Berørte pakker:
puppet
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-1053, CVE-2012-1054.
Yderligere oplysninger:

To sårbarheder blev opdaget i Puppet, et centraliseret værktøj til håndtering af opsætninger.

  • CVE-2012-1053

    Puppet kørte exec-filer med utilsigtigede grupperettigheder, hvilket potentielt kunne føre til rettighedsforøgelse.

  • CVE-2012-1054

    k5login-type skriv til steder, der ikke er tillid til, hvilket gjorde det muligt for lokale brugere, at forøge deres rettigheder, hvis k5login-type anvendtes.

I den stabile distribution (squeeze), er disse problemer rettet i version 2.6.2-5+squeeze4.

I distributionen testing (wheezy) og i den ustabile distribution (sid), er disse problemer rettet i version 2.7.11-1.

Vi anbefaler at du opgraderer dine puppet-pakker.