Рекомендация Debian по безопасности

DSA-2643-1 puppet -- несколько уязвимостей

Дата сообщения:
12.03.2013
Затронутые пакеты:
puppet
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-1640, CVE-2013-1652, CVE-2013-1653, CVE-2013-1654, CVE-2013-1655, CVE-2013-2274, CVE-2013-2275.
Более подробная информация:

В централизованной системе управления настройками Puppet были обнаружены многочисленные уязвимости.

  • CVE-2013-1640

    Авторизованный клиент может запросить свой каталог с главного сервера puppet, что может привести к выполнению на главном сервере произвольного кода. Главный сервер puppet должен вызывать функции template или inline_template во время компилирования каталога.

  • CVE-2013-1652

    Авторизованный клиент может получить каталоги с главного сервера puppet, к которым он не должен иметь доступа. Имея действительный сертификат и приватный ключ, можно создать запрос HTTP GET, который вернёт каталог произвольного клиента.

  • CVE-2013-1653

    Авторизованный клиент может выполнить произвольный код на агенте Puppet, принимающем kick-соединения. Агенты Puppet не уязвимы, если используются настройки по умолчанию. Тем не менее, если агент Puppet настроен так, что прослушивать входящие подключения, напр., listen = true, и файл агента auth.conf разрешает доступ к конечной точке run REST, то авторизованный клиент может создать запрос HTTP PUT для выполнения произвольного кода на стороне агента. Данная проблема становится ещё более серьёзной в том случае, если агенты puppet запущены от лица суперпользователя.

  • CVE-2013-1654

    Ошибка в Puppet разрешает снижать версию SSL подключения до SSLv2, которая, как это известно, содержит уязвимости из-за плохого проектирования. Эта ошибка влияет на соединения SSL между агентами puppet и главным сервером, а также на подключения агентов puppet к серверам третьих лиц, принимающим соединения SSLv2. Заметьте, что SSLv2 отключен с версии OpenSSL 1.0.

  • CVE-2013-1655

    Авторизованный клиент может отправлять запросы главному серверу puppet, из-за которых главный сервер будет загружать код небезопасным образом. Эта проблема действительна только для тех пользователей, главные сервера puppet которых работают под управлением ruby 1.9.3 и выше.

  • CVE-2013-2274

    Авторизованный клиент может выполнить произвольный код на главном сервере puppet с настройками по умолчанию. Имея действительный сертификат и приватный ключ, клиент может создать запрос HTTP PUT, который должен сохранить собственный отчёт клиента, но этот запрос фактически приведёт к тому, что на главном сервер puppet будет выполнен произвольный код.

  • CVE-2013-2275

    По умолчанию auth.conf позволяет авторизованным нодам отправлять отчёт для любой другой ноды, что является проблемой согласия. Настройки по умолчанию стали более ограничительными, теперь ноде разрешено сохранять только свой собственный отчёт.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.6.2-5+squeeze7.

В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 2.7.18-3.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.7.18-3.

Рекомендуется обновить пакеты puppet.