Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2511-1 puppet

Bulletin d'alerte Debian

DSA-2511-1 puppet -- Plusieurs vulnérabilités

Date du rapport :

12 juillet 2012

Paquets concernés :

puppet

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2012-3864, CVE-2012-3865, CVE-2012-3866, CVE-2012-3867.

Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans Puppet, un gestionnaire de configuration centralisé.

• CVE-2012-3864

  Des clients authentifiés pourraient lire des fichiers arbitraires sur le puppet maître.

• CVE-2012-3865

  Des clients authentifiés pourraient supprimer des fichiers arbitraires sur le puppet maître.

• CVE-2012-3866

  Le rapport de l'exécution de Puppet la plus récente était enregistrée avec des permissions permettant la lecture à tout le monde, provoquant une divulgation d'informations.

• CVE-2012-3867

  Les noms d'hôte des agents n'étaient pas suffisamment vérifiés.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.6.2-5+squeeze6.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.7.18-1.

Nous vous recommandons de mettre à jour vos paquets puppet.