Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2715-1 puppet

Bulletin d'alerte Debian

DSA-2715-1 puppet -- Exécution de code

Date du rapport :

26 juin 2013

Paquets concernés :

puppet

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-3567.

Plus de précisions :

Puppet, un système centralisé de gestion de configuration, ne traitait pas correctement les charges utiles YAML. Un attaquant distant pourrait utiliser une charge utile contrefaite pour l'occasion afin d’exécuter du code arbitraire sur le maître Puppet.

Pour la distribution oldstable (Squeeze), ce problème sera corrigé dans la version 2.6.2-5+squeeze8.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 2.7.18-5.

Pour la distribution testing (Jessie), ce problème sera corrigé prochainement.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 3.2.2-1.

Nous vous recommandons de mettre à jour vos paquets puppet.