Debian DSA-2643-1 : puppet - 數個弱點

high Nessus Plugin ID 65228

語系：

概要

遠端 Debian 主機缺少安全性更新。

說明

在 Puppet (集中式組態管理系統) 中發現數個弱點。

- CVE-2013-1640 經驗證的惡意用戶端可能會向 puppet 主機要求其目錄，因此造成 puppet 主機執行任意程式碼。必須讓 puppet 主機在目錄編譯期間叫用 'template' 或 'inline_template' 函式。

- CVE-2013-1652 經驗證的惡意用戶端可能會從未授權存取的 puppet 主機擷取目錄。假設有一個有效憑證和私密金鑰，就可以建構將傳回任意用戶端之目錄的 HTTP GET 要求。

- CVE-2013-1653 經驗證的惡意用戶端可以在接受啟動連線的 Puppet 代理程式上執行任意程式碼。
Puppet 代理程式在其預設組態中不容易受到影響。不過，如果 Puppet 代理程式設定為接聽傳入連線 (例如
listen = true)，而且代理程式的 auth.conf 允許存取 'run' REST 端點，則經驗證的用戶端可以建構一個 HTTP PUT 要求，以便在代理程式上執行任意程式碼。此問題會因為 puppet 代理程式通常以 root 身分執行而變得更糟。

- CVE-2013-1654 Puppet 中的錯誤可讓 SSL 連線降級至已知包含某些設計瑕疵弱點的 SSLv2。這會影響 puppet 代理程式和主機之間的 SSL 連線，以及 puppet 代理程式針對接受 SSLv2 連線的第三方伺服器所建立的連線。請注意，自 OpenSSL 1.0 以來，SSLv2 已遭到停用。

- CVE-2013-1655 未經驗證的惡意用戶端可能會將要求傳送至 puppet 主機，並讓主機以不安全的方式載入程式碼。這只會影響其 puppet 主機執行的是 ruby 1.9.3 和以上版本的使用者。

- CVE-2013-2274 經驗證的惡意用戶端可能會在 puppet 主機上，以其預設組態執行任意程式碼。
假設有一個有效憑證和私密金鑰，用戶端就可以建構一個授權儲存用戶端自己的報告的 HTTP PUT 要求，但是實際上該要求將會使 puppet 主機執行任意程式碼。

- CVE-2013-2275 預設的 auth.conf 可讓經驗證的節點針對其他任何節點提交報告，這是合規性的問題。預設已加強限制，因此僅允許節點儲存自己的報告。