Säkerhetsbulletin från Debian
DSA-2419-1 puppet -- flera sårbarheter
- Rapporterat den:
- 2012-02-27
- Berörda paket:
- puppet
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2012-1053, CVE-2012-1054.
- Ytterligare information:
-
Två sårbarheter har upptäckts i Puppet, ett centraliserat konfigurationshanteringsverktyg.
- CVE-2012-1053
Puppet kör körbara filer med oavsedda grupprättigheter, vilket potentiellt kan leda till utökning av privilegier.
- CVE-2012-1054
Typen k5login skriver till opålitliga platser, vilket möjliggör för lokala användare att öka sina rättigheter, om k5login-typen används.
För den stabila utgåvan (Squeeze) har dessa problem rättats i version 2.6.2-5+squeeze4.
För uttestningsutgåvan (Wheezy) och den instabila utgåvan (Sid) har dessa problem rättats i version 2.7.11-1.
Vi rekommenderar att ni uppgraderar era puppet-paket.
- CVE-2012-1053