Amazon Linux AMI:puppet (ALAS-2012-53)
medium Nessus Plugin ID 69660
語系:
概要
遠端 Amazon Linux AMI 主機缺少一個安全性更新。說明
Puppet 2.6.14 以前的 2.6.x 版和 2.7.11 以前的 2.7.x 版,以及 Puppet Enterprise (PE) Users 1.0、1.1、1.2.x、2.0.3 以前的 2.0.x 版,在管理資源類型為 k5login 的使用者登入檔案時,會允許本機使用者透過 .k5login 上的符號連結攻擊取得權限。在 Puppet 2.6.14 以前的 2.6.x 版和 2.7.11 以前的 2.7.x 版,以及 Puppet Enterprise (PE) Users 1.0、1.1、1.2.x、2.0.3 以前的 2.0.x 版中,SUIDManager (lib/puppet/util/suidmanager.rb) 內的 change_user 方法未正確管理群組權限,進而允許本機使用者透過與下列情況有關的向量取得權限:(1) 特定情形下 change_user 未放置附加群組、(2) 變更 eguid 但未對 egid 做相關變更,或是 (3) 將實際 gid 新增至附加群組。
解決方案
執行「yum update puppet」以更新系統。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 69660
檔案名稱: ala_ALAS-2012-53.nasl
版本: 1.6
類型: local
代理程式: unix
已發布: 2013/9/4
已更新: 2018/4/18
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.9
媒介: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
弱點資訊
CPE: p-cpe:/a:amazon:linux:puppet, p-cpe:/a:amazon:linux:puppet-debuginfo, p-cpe:/a:amazon:linux:puppet-server, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
修補程式發佈日期: 2012/3/15
參考資訊
CVE: CVE-2012-1053, CVE-2012-1054
ALAS: 2012-53