Säkerhetsbulletin från Debian

DSA-2643-1 puppet -- flera sårbarheter

Rapporterat den:
2013-03-12
Berörda paket:
puppet
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-1640, CVE-2013-1652, CVE-2013-1653, CVE-2013-1654, CVE-2013-1655, CVE-2013-2274, CVE-2013-2275.
Ytterligare information:

Flera sårbarheter har upptäckts i Puppet, ett centraliserat system för konfigurationshantering.

  • CVE-2013-1640

    En autentiserad illvillig klient kan efterfråga sin katalog från puppet, och orsaka puppet att köra opålitlig kod. Puppet måste fås att köra template- eller inline_template-funktionerna under katalogkompilering.

  • CVE-2013-1652

    En autentiserad illvillig klient kan hämta kataloger från puppet som den inte har rättigheter att få tillgång till. Given ett giltigt certifikat och privat nycekl är det möjligt att konstruera en HTTP GET-förfrågan som kommer att returnera en katalog för en illvillig klient.

  • CVE-2013-1653

    En autentiserad illvillig klient kan köra opålitlig kod på Puppetagenter som accepterar kick-anslutningar. Puppetagenter är inte sårbara i sin standardkonfiguration, men om puppetagenten är konfigurerad att lyssna efter inkommande anslutningar, t.ex. listen = true, och agentens auth.conf ger tillgång till run-slutpunkten, så kan en autentiserad klient skapa en HTTP PUT-förfrågan för att köra opålitlig kod på agenten. Detta problem görs värre av det faktum att puppetagenter oftast körs som root.

  • CVE-2013-1654

    Ett fel i Puppet tillåter SSL-anslutningar att bli nedgraderade till SSLv2, som är känd att innehålla svagheter på grund av designmisstag. Detta påverkar SSL-anslutningar mellan agenter och master, likväl som anslutningar som puppetagenter gör till tredjepartsservrar som accepterar SSLv2-anslutningar. Notera att SSLv2 är inaktiverat sedan OpenSSL 1.0.

  • CVE-2013-1655

    En icke-autentiserad illvillig klient kan skicka förfrågningar till puppet, och få den att ladda kod på ett osäkert sätt. Detta påverkar endast användare av puppet som kör version 1.9.3 och högre.

  • CVE-2013-2274

    En autentiserad illvillig klient kan exekvera opålitlig kod på puppet i dess standardkonfiguration. Given ett giltigt certifikat och privat nyckel, kan en klient konstruera en HTTP PUT-förfrågan som är tillåten att spara klientens egna rapport, men förfrågan kommer istället att exekvera opålitlig kod.

  • CVE-2013-2275

    Standardinställningen i auth.conf tillåter en autentiserad nod att skicka en rapport för vilken annan nod som helst, vilket är ett problem när det gäller överensstämmelse. Detta har gjorts mer restriktivt som standard så att en nod endast är tillåten att spara sin egen rapport.

För den stabila utgåvan (squeeze) har dessa problem rättats i version 2.6.2-5+squeeze7.

För uttestningsutgåvan (wheezy) har dessa problem rättats i version 2.7.18-3.

För den instabila utgåvan (Sid) har dessa problem rättats i version 2.7.18-3.

Vi rekommenderar att ni uppgraderar era puppet-paket.