Debians sikkerhedsbulletin
DSA-2715-1 puppet -- udførelse af kode
- Rapporteret den:
- 26. jun 2013
- Berørte pakker:
- puppet
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-3567.
- Yderligere oplysninger:
-
Man opdagede at puppet, et system til centraliseret opsætningshåndtering, ikke på korrekt vis håndterede YAML-payloads. En fjernangriber kunne anvende en særligt fremstillet payload til at udføre vilkårlig kode på puppet-masteren.
I den gamle stabile distribution (squeeze), vil dette problem blive rettet i version 2.6.2-5+squeeze8.
I den stabile distribution (wheezy), er dette problem rettet i version 2.7.18-5.
I distributionen testing (jessie), vil dette problem snart blive rettet.
I den ustabile distribution (sid), er dette problem rettet i version 3.2.2-1.
Vi anbefaler at du opgraderer dine puppet-pakker.