Debians sikkerhedsbulletin

DSA-2511-1 puppet -- flere sårbarheder

Rapporteret den:
12. jul 2012
Berørte pakker:
puppet
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2012-3864, CVE-2012-3865, CVE-2012-3866, CVE-2012-3867.
Yderligere oplysninger:

Flere sikkerhedssårbarheder er fundet i Puppet, et program til centraliseret opsætningshåndtering:

  • CVE-2012-3864

    Autentificerede klienter kunne læse vilkårlige filer på puppet-masteren.

  • CVE-2012-3865

    Autentificerede klienter kunne slette vilkårliger filer på puppet-masteren.

  • CVE-2012-3866

    Rapporten over den seneste kørsel af Puppet, blev gemt med verdensskrivbare rettigheder, medførelse informationsafsløring.

  • CVE-2012-3867

    Agent-værtsnavne blev ikke valideret tilstrækkeligt.

I den stabile distribution (squeeze), er dette problem rettet i version 2.6.2-5+squeeze6.

I den ustabile distribution (sid), er dette problem rettet i version 2.7.18-1.

Vi anbefaler at du opgraderer dine puppet-pakker.