Debians sikkerhedsbulletin

DSA-2761-1 puppet -- flere sårbarheder

Rapporteret den:
19. sep 2013
Berørte pakker:
puppet
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-4761, CVE-2013-4956.
Yderligere oplysninger:

Flere sårbarheder blev opdaget i puppet, et centraliseret håndteringssystem til opsætninger. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2013-4761

    Tjenesten resource_type (deaktiveret som standard) kunne anvendes til at få puppet til at indlæse vilkårlig Ruby-kode fra puppet masters filsystem.

  • CVE-2013-4956

    Moduler installeret med Puppet Module Tool, blev måske installeret med svage rettigheder, måske givende lokale brugere adgang til at læse eller ændre dem.

Den stabile distribution (wheezy) er blevet opdateret til version 2.7.33 af puppet. Versionen indeholder rettelser af alle tidligere DSA'er vedrørende puppet i wheezy. I versionen angives puppets rappportformat nu korrekt som version 3.

Man kan forvente, at fremtidige DSA'er vedrørende puppet medfører opdatering til en nyere udgave af 2.7-forgreningen, som kun indeholder fejlrettelser.

Den gamle stabile distribution (squeeze) er ikke opdateret i forbindelse med denne bulletin: på nuværende tidspunkt er der ingen rettelse af CVE-2013-4761 og pakken er ikke påvirket af CVE-2013-4956.

I den stabile distribution (wheezy), er disse problemer rettet i version 2.7.23-1~deb7u1.

I distributionen testing (jessie) og i den ustabile distribution (sid), er disse problemer rettet i version 3.2.4-1.

Vi anbefaler at du opgraderer dine puppet-pakker.