GLSA-201208-02 : Puppet:多個弱點
medium Nessus Plugin ID 61541
語系:
概要
遠端 Gentoo 主機缺少一個或多個與安全性相關的修補程式。說明
遠端主機受到 GLSA-201208-02 中所述的弱點影響 (Puppet:多個弱點)在 Puppet 中發現多個弱點:
Puppet 針對暫存檔使用可預測的檔名 (CVE-2012-1906)。
藉由覆寫 filebucket 儲存位置,未正確處理遠端 filebucket 中檔案的 REST 要求 (CVE-2012-1986)。
藉由在 Puppet 主機檔案系統上讀取資料流或寫入檔案,未正確處理遠端 filebucket 中檔案的 REST 要求 (CVE-2012-1987)。
值區要求中的檔案名稱路徑未正確清理 (CVE-2012-1988)。
Puppet 中的 Telnet 公用程式未以安全方式處理暫存檔 (CVE-2012-1989)。
影響:
擁有代理程式 SSL 金鑰存取權的本機攻擊者可能以處理程序的權限執行任意程式碼、造成拒絕服務情形,或是執行符號連結攻擊以覆寫或讀取 Puppet 主機上的任意檔案。
因應措施:
目前尚無已知的因應措施。
解決方案
所有 Puppet 使用者皆應升級至最新版本:# emerge --sync # emerge --ask --oneshot --verbose '>=app-admin/puppet-2.7.13'
另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 61541
檔案名稱: gentoo_GLSA-201208-02.nasl
版本: 1.9
類型: local
已發布: 2012/8/15
已更新: 2021/1/6
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6
時間分數: 4.4
媒介: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:gentoo:linux:puppet, cpe:/o:gentoo:linux
必要的 KB 項目: Host/local_checks_enabled, Host/Gentoo/release, Host/Gentoo/qpkg-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2012/8/14
參考資訊
CVE: CVE-2012-1906, CVE-2012-1986, CVE-2012-1987, CVE-2012-1988, CVE-2012-1989
BID: 52975
GLSA: 201208-02