Säkerhetsbulletin från Debian

DSA-2419-1 puppet -- flera sårbarheter

Rapporterat den:
2012-02-27
Berörda paket:
puppet
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2012-1053, CVE-2012-1054.
Ytterligare information:

Två sårbarheter har upptäckts i Puppet, ett centraliserat konfigurationshanteringsverktyg.

  • CVE-2012-1053

    Puppet kör körbara filer med oavsedda grupprättigheter, vilket potentiellt kan leda till utökning av privilegier.

  • CVE-2012-1054

    Typen k5login skriver till opålitliga platser, vilket möjliggör för lokala användare att öka sina rättigheter, om k5login-typen används.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 2.6.2-5+squeeze4.

För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har dessa problem rättats i version 2.7.11-1.

Vi rekommenderar att ni uppgraderar era puppet-paket.