Bulletin d'alerte Debian

DSA-2511-1 puppet -- Plusieurs vulnérabilités

Date du rapport :
12 juillet 2012
Paquets concernés :
puppet
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2012-3864, CVE-2012-3865, CVE-2012-3866, CVE-2012-3867.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans Puppet, un gestionnaire de configuration centralisé.

  • CVE-2012-3864

    Des clients authentifiés pourraient lire des fichiers arbitraires sur le puppet maître.

  • CVE-2012-3865

    Des clients authentifiés pourraient supprimer des fichiers arbitraires sur le puppet maître.

  • CVE-2012-3866

    Le rapport de l'exécution de Puppet la plus récente était enregistrée avec des permissions permettant la lecture à tout le monde, provoquant une divulgation d'informations.

  • CVE-2012-3867

    Les noms d'hôte des agents n'étaient pas suffisamment vérifiés.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.6.2-5+squeeze6.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.7.18-1.

Nous vous recommandons de mettre à jour vos paquets puppet.