Debians sikkerhedsbulletin

DSA-2643-1 puppet -- flere sårbarheder

Rapporteret den:
12. mar 2013
Berørte pakker:
puppet
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-1640, CVE-2013-1652, CVE-2013-1653, CVE-2013-1654, CVE-2013-1655, CVE-2013-2274, CVE-2013-2275.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i Puppet, et system til centraliseret opsætningshåndtering.

  • CVE-2013-1640

    En autentificeret, ondsindet klient kunne bede om sit katalog fra puppet-masteren, og forårsage at puppet-masteren udførte vilkårlig kode. Puppet-master skal være opsat til at kalde template- eller inline_template-funktioner under katalogkompilering.

  • CVE-2013-1652

    En autentificeret, ondsindet klient kunne hente kataloger fra puppet-masteren, som den ikke er autoriseret til at tilgå. Med et gyldigt certifikat og privat nøgle, var det muligt at konstruere en HTTP GET-forespørgsel, der leverede kataloget hørende til en vilkårlig klient.

  • CVE-2013-1653

    En autentificeret, ondsindet klient kunne måske udføre vilkårlig kode på puppet-agenter, der accepterer kick-forbindelser. Puppet-agenter er ikke sårbare i deres standardopsætning. Men hvis puppet-agenten er opsat til at lytte efter indgående forbindelser, fx listen = true, og agenten auth.conf tillader adgang til REST-endpoint'et run, da kunne en autentificeret klient konstruere en HTTP PUT-forespørgsel til at udføre vilkårlig kode på agenten. Problemet blev gjort værre af det faktum, at puppet-agenter typisk kører som root.

  • CVE-2013-1654

    En fejl i puppet tillod SSL-forbindelser kunne nedgraderes til SSLv2, der er kendt for at indeholde svagheder i forbindelse med designet. Det påvirkede SSL-forbindelser mellem puppet-agtenter og -master, foruden forbindelser, som puppet-agenter foretager til tredjepartsservere, som accepterer SSLv2-forbindelser. Bemærk at SSLv2 har været deaktiveret siden OpenSSL 1.0.

  • CVE-2013-1655

    En uautentificeret, ondsindet klient kunne måske sende forespørgsler til puppet-masteren og få masteren til at indlæse kode på en usikker måde. Det påvirkede kun brugere, hvis puppet-mastere kører ruby 1.9.3 og senere.

  • CVE-2013-2274

    En autentificeret, ondsindet klient kunne måske udføre vilkårlig kode på puppet-masteren i dennes standardopsætning. Med et gyldigt certifikat og privat nøgle, kunne en klient konstruere en HTTP PUT-forespørgsel, der er autoriseret til at gemme klientens egen rapport, men forespørgslen ville i virkeligheden medføre at puppet-masteren udførte vilkårlig kode.

  • CVE-2013-2275

    Standardudgaven af auth.conf tillod at en autentificeret node kunne indsende en rapport for en anden node, hvilket er et complianceproblem. Det er gjort mere restriktivt som standard, så en node kun har lov til at gemme sin egen rapport.

I den stabile distribution (squeeze), er disse problemer rettet i version 2.6.2-5+squeeze7.

I distributionen testing (wheezy), er disse problemer rettet i version 2.7.18-3.

I den ustabile distribution (sid), er disse problemer rettet i version 2.7.18-3.

Vi anbefaler at du opgraderer dine puppet-pakker.