Bulletin d'alerte Debian
DSA-2715-1 puppet -- Exécution de code
- Date du rapport :
- 26 juin 2013
- Paquets concernés :
- puppet
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2013-3567.
- Plus de précisions :
-
Puppet, un système centralisé de gestion de configuration, ne traitait pas correctement les charges utiles YAML. Un attaquant distant pourrait utiliser une charge utile contrefaite pour l'occasion afin d’exécuter du code arbitraire sur le maître Puppet.
Pour la distribution oldstable (Squeeze), ce problème sera corrigé dans la version 2.6.2-5+squeeze8.
Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.7.18-5.
Pour la distribution testing (Jessie), ce problème sera corrigé prochainement.
Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.2.2-1.
Nous vous recommandons de mettre à jour vos paquets puppet.