Информация по безопасности / 2017 / Информация о безопасности -- DSA-3862-1 puppet

Рекомендация Debian по безопасности

DSA-3862-1 puppet -- обновление безопасности

Дата сообщения:

25.05.2017

Затронутые пакеты:

puppet

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2017-2295.

Более подробная информация:

Было обнаружено, что в Puppet, системе управления настройками, неограниченная YAML-десериализация данных, отправленных агентами на сервер, может приводить к выполнению произвольного кода.

Заметьте, что данное исправление ломает совместимость с Puppet-агентами старше версии 3.2.2, и безопасного способа восстановления этой совместимости нет. Это касается агентов puppet, запущенных в Debian wheezy; рекомендуется выполнить обновление до версии puppet, поставляемой в wheezy-backports.

В стабильном выпуске (jessie) эта проблема была исправлена в версии 3.7.2-4+deb8u1.

В нестабильном выпуске (sid) эта проблема была исправлена в версии 4.8.2-5.

Рекомендуется обновить пакеты puppet.