Bulletin d'alerte Debian

DSA-2643-1 puppet -- Plusieurs vulnérabilités

Date du rapport :
12 mars 2013
Paquets concernés :
puppet
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-1640, CVE-2013-1652, CVE-2013-1653, CVE-2013-1654, CVE-2013-1655, CVE-2013-2274, CVE-2013-2275.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Puppet, un système centralisé de gestion de configuration.

  • CVE-2013-1640

    Un client authentifié malveillant pourrait demander son catalogue au maître Puppet et le forcer à exécuter du code arbitraire. Le maître Puppet doit être fait pour invoquer les fonctions template ou inline_template lors de la compilation du catalogue.

  • CVE-2013-1652

    Un client authentifié malveillant pourrait récupérer des catalogues du maître Puppet auxquels il n’est pas autorisé à accéder. À partir d'un certificat et d'une clef privée valable, une requête HTTP GET pourrait être construite pour renvoyer un catalogue à un client arbitraire.

  • CVE-2013-1653

    Un client authentifié malveillant pourrait exécuter du code arbitraire sur des agents Puppet acceptant les connexions kick. Les agents Puppet ne sont pas vulnérables dans leur configuration par défaut. Cependant, si un agent Puppet est configuré pour écouter les connexions entrantes, par exemple listen = true, et que l'auth.conf de l'agent permet d'accéder à la terminaison (endpoint) REST run, alors un client authentifié peut construire une requête HTTP PUT pour exécuter du code arbitraire sur l'agent. Ce problème est d'autant plus important que les agents sont normalement exécutés en tant que superutilisateur.

  • CVE-2013-1654

    Un bogue dans Puppet permet aux connexions d'être déclassées en SSLv2, connu pour contenir des faiblesses de défaut de conception. Cela affecte les connexions SSL entre agents et maître Puppet, ainsi que les connexions faites par les agents Puppet aux serveurs tiers qui acceptent les connexions SSLv2. Remarquez que SSLv2 est désactivé depuis OpenSSL 1.0.

  • CVE-2013-1655

    Un client non authentifié malveillant pourrait envoyer des requêtes au maître Puppet et lui faire charger du code de façon non sécurisée. Ça ne concerne que les utilisateurs dont les maîtres Puppet fonctionnent avec Ruby 1.9.3 et au-delà.

  • CVE-2013-2274

    Un client non authentifié malveillant pourrait exécuter du code arbitraire sur le maître Puppet dans sa configuration par défaut. À partir d'un certificat et d'une clef privée valable, un client peut construire une requête HTTP PUT autorisée à sauver le propre rapport du client, mais forcer le maître Puppet à exécuter du code arbitraire.

  • CVE-2013-2275

    L'auth.conf par défaut permet à un nœud authentifié de soumettre un rapport pour n'importe quel autre nœud, ce qui pose un problème de conformité. Il a été rendu plus restrictif par défaut pour qu'un nœud ne soit autorisé qu'à sauver ses propres rapports.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.6.2-5+squeeze7.

Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 2.7.18-3.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.7.18-3.

Nous vous recommandons de mettre à jour vos paquets puppet.