Bulletin d'alerte Debian

DSA-2761-1 puppet -- Plusieurs vulnérabilités

Date du rapport :
19 septembre 2013
Paquets concernés :
puppet
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-4761, CVE-2013-4956.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans puppet, un système de gestion de configuration centralisé. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2013-4761

    Le service resource_type (désactivé par défaut) pourrait être utilisé pour faire charger par puppet du code arbitraire en Ruby depuis le système de fichiers du maître (puppet master).

  • CVE-2013-4956

    Des modules installés avec l'outil de module de puppet pourraient être installés avec des permissions faibles, ce qui pourrait permettre à des utilisateurs locaux de les lire ou les modifier.

La distribution stable (Wheezy) a été mise à jour vers la version 2.7.33 de puppet. Cette version inclut les correctifs pour toutes les annonces de sécurité précédentes concernant puppet dans Wheezy. Dans cette version, le format de rapport de puppet est maintenant correctement signalé comme étant en version 3.

Il faut s'attendre à ce que de futures annonces de sécurité pour puppet conduiront à une nouvelle publication de maintenance de la branche 2.7.

La distribution oldstable (Squeeze) n'a pas été mise à jour pour cette annonce puisqu'aucun correctif n'est actuellement disponible pour CVE-2013-4761 et que le paquet n'est pas affecté par CVE-2013-4956.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 2.7.23-1~deb7u1.

Pour la distribution testing (Jessie) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.2.4-1.

Nous vous recommandons de mettre à jour vos paquets puppet.