Puppet の複数の脆弱性(2013/03/12)
high Nessus プラグイン ID 66237
Language:
概要
リモートホスト上で実行している構成管理アプリケーションに、複数の脆弱性があります。説明
自己報告されたバージョン番号によると、リモートホストで実行しているバージョンの Puppet Open Source または Puppet Enterprise には、次の脆弱性があります:- 認証されたクライアントが puppet マスターで任意のコードを実行することを可能にする脆弱性。
(CVE-2013-1640)
- 認証されたクライアントが puppet マスターに接続し、承認されていないアクションを実行することを可能にする脆弱性。(CVE-2013-1652)
- 中間攻撃者が、SSLv2 を使用するよう HTTPS 接続をダウングレードすることを可能にする脆弱性。
(CVE-2013-1654)
- 認証されたノードが他のノードに対するレポートを送信することを可能にする脆弱性。この問題の影響を受けるのは、puppet マスター 0.25.0 以上のみです。(CVE-2013-2275)
ソリューション
Puppet Open Source を 2.6.18 / 2.7.21 / 3.1.1 以降にアップグレードしてください。Puppet Enterprise を 1.2.7 / 2.7.2 以降にアップグレードしてください。
参考資料
https://puppet.com/security/cve/cve-2013-1640
https://puppet.com/security/cve/cve-2013-1652
プラグインの詳細
深刻度: High
ID: 66237
ファイル名: puppet_multiple_vulns.nasl
バージョン: 1.7
タイプ: remote
ファミリー: CGI abuses
公開日: 2013/4/26
更新日: 2021/1/19
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
脆弱性情報
CPE: cpe:/a:puppetlabs:puppet
必要な KB アイテム: puppet/rest_port
エクスプロイトの容易さ: No exploit is required
パッチ公開日: 2013/3/12
脆弱性公開日: 2013/3/12
参照情報
CVE: CVE-2013-1640, CVE-2013-1652, CVE-2013-1654, CVE-2013-2275