Множественные уязвимости в Puppet

Дата публикации:
24.02.2012
Дата изменения:
24.02.2012
Всего просмотров:
1463
Опасность:
Низкая
Наличие исправления:
Да
Количество уязвимостей:
2
CVSSv2 рейтинг:
(AV:L/AC:M/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:6.9/Temporal:5.1
(AV:L/AC:L/Au:N/C:C/I:C/A:C/E:U/RL:O/RC:C) = Base:7.2/Temporal:5.3
CVE ID:
CVE-2012-1053
CVE-2012-1054
Вектор эксплуатации:
Локальная
Воздействие:
Повышение привилегий
CWE ID:
Нет данных
Наличие эксплоита:
Нет данных
Уязвимые продукты:
Puppet 2.x
Puppet Enterprise 1.x
Уязвимые версии:
Puppet версий до 2.6.14
Puppet версий до 2.7.11
Puppet Enterprise версий до 2.0.3
Puppet Enterprise версий до 1.0
Puppet Enterprise версий до 1.1
Puppet Enterprise версий до 1.2.x

Описание:
Обнаруженные уязвимости позволяют локальному пользователю повысить свои привилегии на системе.

1. Уязвимость существует из-за недостаточного удаления прав групп при обработке двойных процессов. Ресурс может получить права родительского GID

2. Уязвимость существует из-за ошибки в типе k5login при управлении login файлом пользователя.

URL производителя: http://www.puppetlabs.com/

Решение: Для устранения уязвимости установите обновление с сайта производителя.

Ссылки: http://puppetlabs.com/security/cve/CVE-2012-1053/
http://puppetlabs.com/security/cve/CVE-2012-1054/

или введите имя

CAPTCHA