Puppet Enterprise < 3.1.0 多個弱點
medium Nessus Plugin ID 70684
語系:
概要
遠端主機上的 Web 應用程式受到多個弱點影響。說明
根據其自我報告的版本號碼,遠端主機上安裝的 Puppet Enterprise 版本比 3.1.0 舊。因此,據稱其受到多個弱點影響:- 存在一個與 Fiddle 和 DL 模組、「$SAFE」層級驗證和物件處理相關的錯誤,可允許攻擊者修改系統呼叫。
(CVE-2013-2065)
- 存在一個遠端程式碼執行弱點,在處理 YAML 報告時會觸發此弱點。這可讓遠端攻擊者執行任意程式碼。
(CVE-2013-4957)
- 存在一個主控台帳戶暴力密碼破解弱點,可允許攻擊者暴力密碼破解已知使用者的密碼。(CVE-2013-4965)
- 存在一個 RubyGems 演算法複雜度拒絕服務弱點,可允許攻擊者透過 CPU 消耗造成拒絕服務。
(CVE-2013-4287)
解決方案
升級至 Puppet Enterprise 3.1.0 版或更新版本。另請參閱
https://puppet.com/security/cve/cve-2013-2065
https://puppet.com/security/cve/cve-2013-4957
Plugin 詳細資訊
嚴重性: Medium
ID: 70684
檔案名稱: puppet_enterprise_310.nasl
版本: 1.7
類型: remote
系列: CGI abuses
已發布: 2013/10/29
已更新: 2021/1/19
支援的感應器: Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.8
時間分數: 5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
弱點資訊
CPE: cpe:/a:puppetlabs:puppet
必要的 KB 項目: puppet/rest_port
可輕鬆利用: No exploit is required
修補程式發佈日期: 2013/10/15
弱點發布日期: 2013/9/9
參考資訊
CVE: CVE-2013-2065, CVE-2013-4287, CVE-2013-4957, CVE-2013-4965