Amazon Linux AMI:puppet(ALAS-2013-219)
medium Nessus プラグイン ID 70223
Language:
概要
リモート Amazon Linux AMI ホストに、セキュリティ更新がありません。説明
Puppet の 2.7.23 より前の 2.7.x と 3.2.4 より前の 3.2.x、ならびに Puppet Enterprise の 2.8.3 より前の 2.8.x と 3.0.1 より前の 3.0.x には詳細不明な脆弱性が存在しており、リモートの攻撃者が resource_type サービスを介して、マスターから任意の Ruby プログラムを実行することが可能です。注:この脆弱性は、Puppet マスターに対する特定されない「ローカルファイルシステムアクセス」を使用する場合にのみ悪用可能です。Puppet の 2.7.23 より前の 2.7.x と 3.2.4 より前の 3.2.x、および Puppet Enterprise の 2.8.3 より前の 2.8.x と 3.0.1 より前の 3.0.x で使用される Puppet Module Tool(PMT)は、モジュールが初めてビルドされた時に弱い権限が使用されていると、これらの弱い権限でモジュールをインストールします。このため、ローカルユーザーが、元の権限に依存するこうしたモジュールの読み取りや改ざんを行う可能性があります。
ソリューション
「yum update puppet」を実行してシステムを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 70223
ファイル名: ala_ALAS-2013-219.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
公開日: 2013/10/1
更新日: 2018/4/18
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.8
CVSS v2
リスクファクター: Medium
基本値: 5.1
ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:amazon:linux:puppet, p-cpe:/a:amazon:linux:puppet-debuginfo, p-cpe:/a:amazon:linux:puppet-server, cpe:/o:amazon:linux
必要な KB アイテム: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
パッチ公開日: 2013/9/4
参照情報
CVE: CVE-2013-4761, CVE-2013-4956
ALAS: 2013-219