検出

Oracle Solaris のサードパーティ製パッチの更新:puppet (multiple_vulnerabilities_in_puppet)

medium Nessus プラグイン ID 80744

Language:

概要

リモートの Solaris システムに、サードパーティのソフトウェアに対するセキュリティのパッチがありません。

説明

リモートの Solaris システムに、次のセキュリティの更新に対処するのに必要なパッチがありません:

- Puppet の 2.7.23 以前の 2.7.x、および 3.2.4 以前の 3.2.x、および Puppet Enterprise の 2.8.3 以前の 2.8.x、および 3.0.1 以前の 3.0.x での特定されていない脆弱性により、リモートの攻撃者が resource_type サービスを介して、マスターから任意の Ruby プログラムを実行できます。注:この脆弱性は、Puppet マスターに対する特定されない「ローカルファイルシステムアクセス」を使用する場合にのみ悪用可能です。(CVE-2013-4761)

- Puppet の 2.7.23 以前の 2.7.x、および 3.2.4 以前の 3.2.x、および Puppet Enterprise の 2.8.3 以前の 2.8.x、および 3.0.1 以前の 3.0.x で使用される Puppet Module Tool (PMT)により、それらの権限がモジュールが元々構築されたときに使用されていた場合、弱い権限でモジュールがインストールされます。これによりローカルユーザーが、元の権限によってそれらのモジュールを読み取ることや変更することができることがあります。(CVE-2013-4956)

ソリューション

Solaris 11.2 にアップグレードしてください。

参考資料

http://www.nessus.org/u?4a913f44

http://www.nessus.org/u?7e305605

プラグインの詳細

深刻度: Medium

ID: 80744

ファイル名: solaris11_puppet_20140731.nasl

バージョン: 1.3

タイプ: local

公開日: 2015/1/19

更新日: 2021/1/14

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.8

CVSS v2

リスクファクター: Medium

基本値: 5.1

ベクトル: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: cpe:/o:oracle:solaris:11.2, p-cpe:/a:oracle:solaris:puppet

必要な KB アイテム: Host/local_checks_enabled, Host/Solaris11/release, Host/Solaris11/pkg-list

パッチ公開日: 2014/7/31

参照情報

CVE: CVE-2013-4761, CVE-2013-4956