Рекомендация Debian по безопасности

DSA-2419-1 puppet -- несколько уязвимостей

Дата сообщения:
27.02.2012
Затронутые пакеты:
puppet
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2012-1053, CVE-2012-1054.
Более подробная информация:

В Puppet, инструменте централизованного управления настройками, обнаружено две уязвимости.

  • CVE-2012-1053

    Puppet запускает исполняемые файлы от лица группы, права которой не должны передаваться исполняемому файлу, что потенциально приводит к повышению привилегий.

  • CVE-2012-1054

    Тип k5login выполняет запись в недоверенные места, что позволяет локальным пользователям повышать свои права доступа в случае, если используется тип k5login.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.6.2-5+squeeze4.

В тестируемом (wheezy) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 2.7.11-1.

Рекомендуется обновить пакеты puppet.