Информационная безопасность
[RU] switch to English


Многочисленные уязвимости безопасности в Puppet
дополнено с 1 октября 2011 г.
Опубликовано:27 ноября 2011 г.
Источник:
SecurityVulns ID:11934
Тип:локальная
Уровень опасности:
5/10
Описание:Многочисленные возможности перезаписи файлов, подмена сертификатов.
Затронутые продукты:PUPPET : Puppet 2.6
CVE:CVE-2011-3872 (Puppet 2.6.x before 2.6.12 and 2.7.x before 2.7.6, and Puppet Enterprise (PE) Users 1.0, 1.1, and 1.2 before 1.2.4, when signing an agent certificate, adds the Puppet master's certdnsnames values to the X.509 Subject Alternative Name field of the certificate, which allows remote attackers to spoof a Puppet master via a man-in-the-middle (MITM) attack against an agent that uses an alternate DNS name for the master, aka "AltNames Vulnerability.")
 CVE-2011-3871 (Puppet 2.7.x before 2.7.5, 2.6.x before 2.6.11, and 0.25.x, when running in --edit mode, uses a predictable file name, which allows local users to run arbitrary Puppet code or trick a user into editing arbitrary files.)
 CVE-2011-3870 (Puppet 2.7.x before 2.7.5, 2.6.x before 2.6.11, and 0.25.x allows local users to modify the permissions of arbitrary files via a symlink attack on the SSH authorized_keys file.)
 CVE-2011-3869 (Puppet 2.7.x before 2.7.5, 2.6.x before 2.6.11, and 0.25.x allows local users to overwrite arbitrary files via a symlink attack on the .k5login file.)
Оригинальный текстdocumentDEBIAN, [SECURITY] [DSA 2352-1] puppet security update (27.11.2011)
 documentUBUNTU, [USN-1223-1] Puppet vulnerabilities (01.10.2011)

О сайте | Условия использования
© SecurityVulns, 3APA3A, Владимир Дубровин
Нижний Новгород