Bulletin d'alerte Debian
DSA-2511-1 puppet -- Plusieurs vulnérabilités
- Date du rapport :
- 12 juillet 2012
- Paquets concernés :
- puppet
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2012-3864, CVE-2012-3865, CVE-2012-3866, CVE-2012-3867.
- Plus de précisions :
-
Plusieurs vulnérabilités de sécurité ont été découvertes dans Puppet, un gestionnaire de configuration centralisé.
- CVE-2012-3864
Des clients authentifiés pourraient lire des fichiers arbitraires sur le puppet maître.
- CVE-2012-3865
Des clients authentifiés pourraient supprimer des fichiers arbitraires sur le puppet maître.
- CVE-2012-3866
Le rapport de l'exécution de Puppet la plus récente était enregistrée avec des permissions permettant la lecture à tout le monde, provoquant une divulgation d'informations.
- CVE-2012-3867
Les noms d'hôte des agents n'étaient pas suffisamment vérifiés.
Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 2.6.2-5+squeeze6.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 2.7.18-1.
Nous vous recommandons de mettre à jour vos paquets puppet.
- CVE-2012-3864