Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:H/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
puppet
(any)
Описание
В puppet, централизованной системе управления настройками,
были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:
CVE-2013-4761
Служба resource_type (по умолчанию отключена) может использоваться для
загрузки произвольного кода на Ruby из главной файловой системы
puppet.
CVE-2013-4956
Модули, установленные с помощью Puppet Module Tool, могут быть установлены
со слабыми правами, что может позволить локальным пользователям читать или
изменять их.
Стабильный выпуск (wheezy) был обновлён до версии 2.7.33
puppet. Эта версия включает заплаты для всех предыдущих рекомендаций по безопасности,
связанных с puppet в wheezy. В этой версии формат отчёта puppet
корректно указывает как версия 3.
Ожидается, что будущие рекомендации по безопасности для puppet будут представлять собой обновление до
более нового, исправляющего ошибки выпуска ветки 2.7.
Предыдущий стабильный выпуск (squeeze) не был обновлён в соответствии с
данной рекомендацией по безопасности: в настоящее время не существует исправления для
CVE-2013-4761,
также данный пакет не подвержен
CVE-2013-4956.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 2.7.23-1~deb7u1.
В тестируемом (jessie) и нестабильном (sid) выпусках
эти проблемы были исправлены в версии 3.2.4-1.
Мы рекомендуем вам обновить ваши пакеты puppet.
были обнаружены несколько уязвимостей. Проект Common Vulnerabilities and
Exposures определяет следующие проблемы:
CVE-2013-4761
Служба resource_type (по умолчанию отключена) может использоваться для
загрузки произвольного кода на Ruby из главной файловой системы
puppet.
CVE-2013-4956
Модули, установленные с помощью Puppet Module Tool, могут быть установлены
со слабыми правами, что может позволить локальным пользователям читать или
изменять их.
Стабильный выпуск (wheezy) был обновлён до версии 2.7.33
puppet. Эта версия включает заплаты для всех предыдущих рекомендаций по безопасности,
связанных с puppet в wheezy. В этой версии формат отчёта puppet
корректно указывает как версия 3.
Ожидается, что будущие рекомендации по безопасности для puppet будут представлять собой обновление до
более нового, исправляющего ошибки выпуска ветки 2.7.
Предыдущий стабильный выпуск (squeeze) не был обновлён в соответствии с
данной рекомендацией по безопасности: в настоящее время не существует исправления для
CVE-2013-4761,
также данный пакет не подвержен
CVE-2013-4956.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 2.7.23-1~deb7u1.
В тестируемом (jessie) и нестабильном (sid) выпусках
эти проблемы были исправлены в версии 3.2.4-1.
Мы рекомендуем вам обновить ваши пакеты puppet.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
puppet - 2.7.23-1~deb7u1
Debian GNU/Linux 7:
noarch:
puppet - 2.7.23-1~deb7u1
Ссылки
http://www.debian.org/security/dsa-2761/
Источник: CVE
Наименование: CVE-2013-4761
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4761
Источник: CVE
Наименование: CVE-2013-4956
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4956
Источник: CVE
Наименование: CVE-2013-4761
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4761
Источник: CVE
Наименование: CVE-2013-4956
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-4956