Debians sikkerhedsbulletin
DSA-3862-1 puppet -- sikkerhedsopdatering
- Rapporteret den:
- 25. maj 2017
- Berørte pakker:
- puppet
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2017-2295.
- Yderligere oplysninger:
-
Man opdagede at ubegrænset YAML-deserialisering af data sendt fra agenter til serveren i opsætningshåndteringssystemet Puppet, kunne medføre udførelse af vilkårlig kode.
Bemærk at rettelsen bryder bagudkompatibiliteten med Puppet-agenter ældre end 3.2.2, og at der ikke er nogen sikker måde at genskabe den på. Det påvirker puppet-agenter, som kører på Debian wheezy; vi anbefaler at du opdaterer til den version af puppet, som leveres via wheezy-backports.
I den stabile distribution (jessie), er dette problem rettet i version 3.7.2-4+deb8u1.
I den ustabile distribution (sid), er dette problem rettet i version 4.8.2-5.
Vi anbefaler at du opgraderer dine puppet-pakker.