Рекомендация Debian по безопасности

DSA-2761-1 puppet -- несколько уязвимостей

Дата сообщения:
19.09.2013
Затронутые пакеты:
puppet
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-4761, CVE-2013-4956.
Более подробная информация:

В puppet, централизованной системе управления настройками, были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2013-4761

    Служба resource_type (по умолчанию отключена) может использоваться для загрузки произвольного кода на Ruby из главной файловой системы puppet.

  • CVE-2013-4956

    Модули, установленные с помощью Puppet Module Tool, могут быть установлены со слабыми правами, что может позволить локальным пользователям читать или изменять их.

Стабильный выпуск (wheezy) был обновлён до версии 2.7.33 puppet. Эта версия включает заплаты для всех предыдущих рекомендаций по безопасности, связанных с puppet в wheezy. В этой версии формат отчёта puppet корректно указывает как версия 3.

Ожидается, что будущие рекомендации по безопасности для puppet будут представлять собой обновление до более нового, исправляющего ошибки выпуска ветки 2.7.

Предыдущий стабильный выпуск (squeeze) не был обновлён в соответствии с данной рекомендацией по безопасности: в настоящее время не существует исправления для CVE-2013-4761, также данный пакет не подвержен CVE-2013-4956.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.7.23-1~deb7u1.

В тестируемом (jessie) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 3.2.4-1.

Мы рекомендуем вам обновить ваши пакеты puppet.