Debian セキュリティ勧告

DSA-2761-1 puppet -- 複数の脆弱性

報告日時:
2013-09-19
影響を受けるパッケージ:
puppet
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2013-4761, CVE-2013-4956.
詳細:

複数の脆弱性が puppet、中央集中設定管理システムに発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2013-4761

    resource_type サービス (デフォルトでは無効化) を使って puppet マスターのファイルシステムから任意の Ruby コードを puppet に読み込ませることが可能です。

  • CVE-2013-4956

    Puppet Module Tool でインストールしたモジュールが 弱い権限設定でインストールされている可能性があり、 潜在的にはローカルユーザに読み取りや変更を許します。

安定版 (stable) ディストリビューション (wheezy) では、puppet の バージョン 2.7.33 に更新されています。 このバージョンでは wheezy の puppet に関連する以前の DSA のパッチを全て収録しています。このバージョンでは puppet 報告形式が正常にバージョン3として報告するようになっています。

将来の puppet 向け DSA では新しい 2.7 ブランチのリリースのバグ修正のみの更新を予定しています。

旧安定版 (oldstable) ディストリビューション (squeeze) ではこの勧告では更新されていません: 現時点で CVE-2013-4761 に対する修正はなく、このパッケージには CVE-2013-4956 による影響はありません。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 2.7.23-1~deb7u1 で修正されています。

テスト版 (testing) ディストリビューション (jessie) 及び不安定版 (unstable) ディストリビューション (sid) では、 この問題はバージョン 3.2.4-1 で修正されています。

直ちに puppet パッケージをアップグレードすることを勧めます。