Bulletin d'alerte Debian

DLA-1012-1 puppet -- Mise à jour de sécurité pour LTS

Date du rapport :
3 juillet 2017
Paquets concernés :
puppet
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 863212.
Dans le dictionnaire CVE du Mitre : CVE-2017-2295.
Plus de précisions :

Les versions de Puppet avant 4.10.1 désérialisent les données provenant du réseau (de l’agent vers le serveur, dans ce cas) avec un format précisé par l’attaquant. Cela pourrait être utilisé pour obliger la désérialisation de YAML d’une manière non sûre, ce qui pourrait conduire à une exécution de code à distance.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.7.23-1~deb7u4, en activant la sérialisation PSON sur les clients et en refusant les formats non PSON sur le serveur.

Nous recommandons de mettre à niveau vos paquets puppet. Soyez sûr de mettre à jour tous les clients avant de mettre à jour le serveur, autrement les vieux clients ne pourront se connecter au serveur.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.