Debian DSA-2643-1：Puppet - いくつかの脆弱性

high Nessus プラグイン ID 65228

Language:

概要

リモート Debian ホストに、セキュリティ更新がありません。

説明

集中型構成管理システムである Puppet に、複数の脆弱性が発見されました。

- CVE-2013-1640 認証された悪意のあるクライアントが、Puppet マスターからカタログをリクエストし、Puppet マスターに任意のコードを実行させる可能性があります。Puppet マスターが、カタログのコンパイル中に「template」または「inline_template」関数を呼び出すようにする必要があります。

- CVE-2013-1652 認証された悪意のあるクライアントが、Puppet マスターからアクセス権限のないカタログを取得する可能性があります。有効な証明書と秘密鍵がある場合、HTTP GET リクエストを構築することが可能で、このリクエストは任意のクライアントのカタログを返します。

- CVE-2013-1653 認証された悪意のあるクライアントが、キック接続を受け入れる Puppet エージェントで任意のコードを実行する可能性があります。
Puppet エージェントは、デフォルト構成では脆弱ではありません。しかし、Puppet エージェントが受信接続をリッスンするように構成されており
（例えば listen = true）、エージェントの auth.conf が「run」REST エンドポイントへのアクセスを許可する場合、認証されたクライアントが、HTTP PUT リクエストを構築し、任意のコードをエージェントで実行する可能性があります。この問題は、puppet エージェントが通常 root として実行される事実により深刻化します。

- CVE-2013-1654 Puppet のバグにより、SSL 接続が SSLv2 にダウングレードされます。SSLv2 は、デザインの欠陥による弱点があることが知られています。これは Puppet エージェントと Puppet マスターの間の SSL 接続に影響を与え、SSLv2 接続を受け入れるサードパーティのサーバーに対する Puppet エージェントの接続にも影響を与えます。注意：OpenSSL 1.0 以降、SSLv2 は無効化されています。

- CVE-2013-1655 認証されていない悪意のあるクライアントが、Puppet マスターにリクエストを送信し、マスターに安全でない方法でコードをロードさせる可能性があります。この影響を受けるのは、ruby 1.9.3 以降を実行している Puppet マスターのユーザーのみです。

- CVE-2013-2274 認証された悪意のあるクライアントが、デフォルト構成の Puppet マスターで任意のコードを実行する可能性があります。
有効な証明書と秘密鍵がある場合、クライアント独自のレポートを保存する権限のある HTTP PUT リクエストを構築できます。しかし、このリクエストは、実際には Puppet マスターに任意のコードを実行させます。

- CVE-2013-2275 デフォルトの auth.conf により、認証されたノードが、他の任意のノードにレポートを送信する可能性があり、これがコンプライアンスの問題となっています。デフォルトで制限が厳しくなっており、ノードがそれ自体のレポートを保存する場合のみ許可されるようになりました。