Bulletin d'alerte Debian

DSA-2715-1 puppet -- Exécution de code

Date du rapport :
26 juin 2013
Paquets concernés :
puppet
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-3567.
Plus de précisions :

Puppet, un système centralisé de gestion de configuration, ne traitait pas correctement les charges utiles YAML. Un attaquant distant pourrait utiliser une charge utile contrefaite pour l'occasion afin d’exécuter du code arbitraire sur le maître Puppet.

Pour la distribution oldstable (Squeeze), ce problème sera corrigé dans la version 2.6.2-5+squeeze8.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.7.18-5.

Pour la distribution testing (Jessie), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.2.2-1.

Nous vous recommandons de mettre à jour vos paquets puppet.