Обход ограничений безопасности в Puppet

Дата публикации:
02.02.2011
Дата изменения:
02.02.2011
Всего просмотров:
1383
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
1
CVSSv2 рейтинг:
(AV:N/AC:H/Au:S/C:P/I:P/A:N/E:U/RL:O/RC:C) = Base:3.6/Temporal:2.7
CVE ID:
Нет данных
Вектор эксплуатации:
Удаленная
Воздействие:
Раскрытие важных данных
Неавторизованное изменение данных
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Puppet 2.x
Уязвимые версии: Puppet версии 2.6.4.

Описание:
Уязвимость позволяет удаленному пользователю просмотреть и изменить некоторые данные в приложении.

Уязвимость существует из-за того, что приложение при некоторых обстоятельствах некорректно ограничивает доступ. Удаленный пользователь может просмотреть и изменить некоторые данные в приложении. Для успешной эксплуатации уязвимости по отношению к серверу, файл auth.conf должен отсутствовать на системе, и атакующий должен владеть учетными SSL данными для другого узла. Для успешной эксплуатации уязвимости по отношению к клиенту, демон должен быть запущен в режиме "listen", хост атакующего должен содержаться в файле namespaceauth.conf, и атакующий должен владеть учетными SSL данными для другого узла.

URL производителя: www.puppetlabs.com/puppet/introduction/

Решение: Установите последнюю версию 2.6.4 с сайта производителя.

Ссылки: http://www.mail-archive.com/puppet-users@googlegroups.com/msg16429.html

или введите имя

CAPTCHA