Информация по безопасности / 2011 / Информация о безопасности -- DSA-2352-1 puppet

Рекомендация Debian по безопасности

DSA-2352-1 puppet -- ошибка программирования

Дата сообщения:

22.11.2011

Затронутые пакеты:

puppet

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2011-3872.

Более подробная информация:

Было обнаружено, что Puppet, централизованное решение для управления настройками, неправильно создаёт сертификаты в случае использования опции certdnsnames. Это может позволить выполнение атак по принципу человек-в-середине. Подробности см. на веб-сайте Puppet.

В предыдущем стабильном выпуске (lenny) эта проблема была исправлена в версии 0.24.5-3+lenny2.

В стабильном выпуске (squeeze) эта проблема была исправлена в версии 2.6.2-5+squeeze3.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 2.7.6-1.

Рекомендуется обновить пакеты puppet.