Puppet 多种漏洞 (2013/03/12)
high Nessus 插件 ID 66237
语言:
简介
远程主机上运行的配置管理应用程序存在多种漏洞。描述
根据其自我报告的版本号,远程主机上运行的 Puppet Open Source 或 Puppet Enterprise 版本存在以下漏洞:- 一个漏洞,允许经认证的客户端在 Puppet 主控端上执行任意代码。
(CVE-2013-1640)
- 一个漏洞,允许经认证的客户端连接到 Puppet 主控端并执行未经授权的操作。(CVE-2013-1652)
- 一个漏洞,允许中间人攻击者将 HTTPS 连接降级为使用 SSLv2。
(CVE-2013-1654)
- 一个漏洞,允许经认证的节点提交任何其他节点的报告。此问题仅影响 Puppet 主控端 0.25.0 和更高版本。(CVE-2013-2275)
解决方案
将 Puppet Open Source 升级到 2.6.18 / 2.7.21 / 3.1.1 或更高版本。将 Puppet Enterprise 升级到 1.2.7 / 2.7.2 或更高版本。
另见
https://puppet.com/security/cve/cve-2013-1640
https://puppet.com/security/cve/cve-2013-1652
插件详情
严重性: High
ID: 66237
文件名: puppet_multiple_vulns.nasl
版本: 1.7
类型: remote
系列: CGI abuses
发布时间: 2013/4/26
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 9
时间分数: 6.7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
漏洞信息
CPE: cpe:/a:puppetlabs:puppet
必需的 KB 项: puppet/rest_port
易利用性: No exploit is required
补丁发布日期: 2013/3/12
漏洞发布日期: 2013/3/12
参考资料信息
CVE: CVE-2013-1640, CVE-2013-1652, CVE-2013-1654, CVE-2013-2275