Debian セキュリティ勧告

DSA-2643-1 puppet -- 複数の脆弱性

報告日時:
2013-03-12
影響を受けるパッケージ:
puppet
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-1640, CVE-2013-1652, CVE-2013-1653, CVE-2013-1654, CVE-2013-1655, CVE-2013-2274, CVE-2013-2275.
詳細:

複数の脆弱性が設定の一元管理システム Puppet に発見されました。

  • CVE-2013-1640

    認証済みの悪意のあるクライアントがカタログを puppet マスターに要求し、puppet マスターに任意のコードを実行させる可能性があります。 puppet マスターはカタログ編成処理で template または inline_template 関数を使うようにしなければなりません。

  • CVE-2013-1652

    認証済みの悪意のあるクライアントがアクセスを承認していない puppet マスターからカタログを取得する可能性があります。正当な証明書と秘密鍵があれば、HTTP GET リクエストを構成して任意のクライアント向けのカタログを返させることが可能です。

  • CVE-2013-1653

    認証済みの悪意のあるクライアントが接続の kick を受け入れる Puppet エージェントで任意のコードを実行する可能性があります。Puppet エージェントはデフォルト設定では脆弱ではありません。しかし、Puppet エージェントが外側からの接続を受け付けるように設定、例えば listen = true されていて、エージェントの auth.conf で run REST エンドポイントへのアクセスが許可されている場合、 認証済みクライアントがエージェントへの HTTP PUT リクエストを構成して任意のコードを実行させることが可能です。 この問題は、puppet エージェントが標準的に root で動作するという事実によりさらに悪いことになります。

  • CVE-2013-1654

    Puppet のバグにより、SSL 接続の SSLv2 へのダウングレードを許します。 これには設計上の不備による弱点があることがわかっています。 この影響は、puppet エージェントとマスターの間の SSL 接続にも SSLv2 接続を受け入れるサードパーティのサーバに対する puppet エージェントの接続にも影響します。SSLv2 は OpenSSL 1.0 から無効化されていることに注意してください。

  • CVE-2013-1655

    認証していない悪意のあるクライアントが puppet マスターにリクエストを送り、 マスターに安全でない方法によりコードをロードさせる可能性があります。これは puppet マスターを ruby 1.9.3 以降で実行しているユーザにのみ影響します。

  • CVE-2013-2274

    認証済みの悪意のあるクライアントがデフォルト設定の puppet マスターに任意のコードを実行させる可能性があります。正当な証明書と秘密鍵があれば、 そのクライアント自身の報告の保存を承認されたクライアントが HTTP GET リクエストを構成することが可能です。ただし、このリクエストは実際には puppet マスターに任意のコードを実行させることになります。

  • CVE-2013-2275

    デフォルトの auth.conf では、認証済みノードに対して他の任意の報告の提出を許可します。 これには整合性の問題があります。これはデフォルトでもっと制限されていて、 ノードはそのノード自身の報告の保存だけを許可されています。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 2.6.2-5+squeeze7 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題はバージョン 2.7.18-3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 2.7.18-3 で修正されています。

直ちに puppet パッケージをアップグレードすることを勧めます。