Amazon Linux AMI:puppet (ALAS-2013-219)
medium Nessus Plugin ID 70223
語系:
概要
遠端 Amazon Linux AMI 主機缺少一個安全性更新。說明
Puppet 2.7.23 之前的 2.7.x 版本和 3.2.4 之前的 3.2.x 版本以及 Puppet Enterprise 2.8.3 之前的 2.8.x 版本和 3.0.1 之前的 3.0.x 版本中有一個不明弱點,可讓遠端攻擊者透過 resource_type 服務從主機執行任意 Ruby 程式。注意:此弱點只能使用 Puppet 主機的不明「local 檔案系統存取權」來惡意利用。Puppet 模組工具 (PMT),如在 Puppet 2.7.23 之前的 2.7.x 版本和 3.2.4 之前的 3.2.x 版本,以及 Puppet Enterprise 2.8.3 之前的 2.8.x 版本和 3.0.1 之前的 3.0.x 版本中所使用,會以弱式權限安裝模組 (如果在最初構建模組時使用這些權限),進而可能允許本機使用者根據原始權限讀取或修改這些模組。
解決方案
執行「yum update puppet」以更新系統。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 70223
檔案名稱: ala_ALAS-2013-219.nasl
版本: 1.4
類型: local
代理程式: unix
已發布: 2013/10/1
已更新: 2018/4/18
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.8
CVSS v2
風險因素: Medium
基本分數: 5.1
媒介: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:amazon:linux:puppet, p-cpe:/a:amazon:linux:puppet-debuginfo, p-cpe:/a:amazon:linux:puppet-server, cpe:/o:amazon:linux
必要的 KB 項目: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
修補程式發佈日期: 2013/9/4
參考資訊
CVE: CVE-2013-4761, CVE-2013-4956
ALAS: 2013-219