Säkerhetsbulletin från Debian

DSA-2761-1 puppet -- flera sårbarheter

Rapporterat den:
2013-09-19
Berörda paket:
puppet
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-4761, CVE-2013-4956.
Ytterligare information:

Flera sårbarheter har upptäckts i puppet, ett centraliserat konfigurationshanteringssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2013-4761

    Tjänsten resource_type (som är avstängd som standard) kunde användas till att få puppet att ladda skadlig Ruby-kod från puppet's värds filsystem.

  • CVE-2013-4956

    Moduler som installerats med Puppet Module Tool kunde installeras med svaga rättigheter, vilket möjligen kunde tillåta lokala användare att läsa eller mofifiera dem.

Den stabila utgåvan (Wheezy) har uppdaterats till version 2.7,33 av puppet. Denna version inkluderar patcharna för alla tidigare DSAs relaterade till puppet i Wheezy. I denna version rapporteras puppets rapportformat korrekt som version 3.

Det väntas att framtida DSAs för puppet uppdaterar till nyare utgåva av 2.7-grenen med endast felrättningar.

Den gamla stabila utgåvan (Squeeze) har inte blivit uppdaterad för denna bulletin: för närvarande finns ingen rättning för CVE-2013-4761 och paketet påverkas inte av CVE-2013-4956.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 2.7.23-1~deb7u1.

För uttestningsutgåvan (Jessie) och den instabila utgåvan (Sid), har dessa problem rättats i version 3.2.4-1.

Vi rekommenderar att ni uppgraderar era puppet-paket.