Рекомендация Debian по безопасности
DSA-2643-1 puppet -- несколько уязвимостей
- Дата сообщения:
- 12.03.2013
- Затронутые пакеты:
- puppet
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2013-1640, CVE-2013-1652, CVE-2013-1653, CVE-2013-1654, CVE-2013-1655, CVE-2013-2274, CVE-2013-2275.
- Более подробная информация:
-
В централизованной системе управления настройками Puppet были обнаружены многочисленные уязвимости.
- CVE-2013-1640
Авторизованный клиент может запросить свой каталог с главного сервера puppet, что может привести к выполнению на главном сервере произвольного кода. Главный сервер puppet должен вызывать функции
template
илиinline_template
во время компилирования каталога. - CVE-2013-1652
Авторизованный клиент может получить каталоги с главного сервера puppet, к которым он не должен иметь доступа. Имея действительный сертификат и приватный ключ, можно создать запрос HTTP GET, который вернёт каталог произвольного клиента.
- CVE-2013-1653
Авторизованный клиент может выполнить произвольный код на агенте Puppet, принимающем kick-соединения. Агенты Puppet не уязвимы, если используются настройки по умолчанию. Тем не менее, если агент Puppet настроен так, что прослушивать входящие подключения, напр., listen = true, и файл агента auth.conf разрешает доступ к конечной точке
run
REST, то авторизованный клиент может создать запрос HTTP PUT для выполнения произвольного кода на стороне агента. Данная проблема становится ещё более серьёзной в том случае, если агенты puppet запущены от лица суперпользователя. - CVE-2013-1654
Ошибка в Puppet разрешает снижать версию SSL подключения до SSLv2, которая, как это известно, содержит уязвимости из-за плохого проектирования. Эта ошибка влияет на соединения SSL между агентами puppet и главным сервером, а также на подключения агентов puppet к серверам третьих лиц, принимающим соединения SSLv2. Заметьте, что SSLv2 отключен с версии OpenSSL 1.0.
- CVE-2013-1655
Авторизованный клиент может отправлять запросы главному серверу puppet, из-за которых главный сервер будет загружать код небезопасным образом. Эта проблема действительна только для тех пользователей, главные сервера puppet которых работают под управлением ruby 1.9.3 и выше.
- CVE-2013-2274
Авторизованный клиент может выполнить произвольный код на главном сервере puppet с настройками по умолчанию. Имея действительный сертификат и приватный ключ, клиент может создать запрос HTTP PUT, который должен сохранить собственный отчёт клиента, но этот запрос фактически приведёт к тому, что на главном сервер puppet будет выполнен произвольный код.
- CVE-2013-2275
По умолчанию auth.conf позволяет авторизованным нодам отправлять отчёт для любой другой ноды, что является проблемой согласия. Настройки по умолчанию стали более ограничительными, теперь ноде разрешено сохранять только свой собственный отчёт.
В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 2.6.2-5+squeeze7.
В тестируемом выпуске (wheezy) эти проблемы были исправлены в версии 2.7.18-3.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 2.7.18-3.
Рекомендуется обновить пакеты puppet.
- CVE-2013-1640