検出

Puppet Enterprise 3.x < 3.1.3 の LibYAML におけるヒープベースのバッファオーバーフロー

medium Nessus プラグイン ID 73134

Language:

概要

リモートホストの Web アプリケーションが、バッファオーバーフローの脆弱性による影響を受けます。

説明

自己報告されたバージョン番号によると、リモートホストの Puppet Enterprise 3.x インストールは、3.1.3 より前です。その結果、含まれる LibYAML バージョンに関連するエラーの影響を受けることが報告されており、「yaml_parser_scan_tag_uri」関数と YAML タグ解析により、ヒープベースのバッファオーバーフローおよび任意のコード実行が引き起こされる可能性があります。

ソリューション

Puppet Enterprise 3.1.3 以降にアップグレードしてください。

参考資料

http://www.nessus.org/u?fd5a8021

https://puppet.com/security/cve/cve-2013-6393

プラグインの詳細

深刻度: Medium

ID: 73134

ファイル名: puppet_enterprise_313.nasl

バージョン: 1.5

タイプ: remote

ファミリー: CGI abuses

公開日: 2014/3/21

更新日: 2021/1/19

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/a:puppetlabs:puppet

必要な KB アイテム: puppet/rest_port

エクスプロイトの容易さ: No exploit is required

パッチ公開日: 2014/2/11

脆弱性公開日: 2014/1/29

参照情報

CVE: CVE-2013-6393

BID: 65258