Puppet Enterprise < 3.0.1 多种漏洞

medium Nessus 插件 ID 70663

简介

远程主机上的 Web 应用程序存在多种漏洞。

描述

根据其自我报告的版本号,远程主机上安装的 Puppet Enterprise 版本低于 3.0.1。因此,据报告,它存在多种漏洞。

- 存在一个与随附的 Ruby SSL 客户端有关的错误,可允许中间人攻击。
(CVE-2013-4073)

- 存在一个与“resource_type”服务有关的错误,可允许本地攻击者导致执行任意 Ruby 文件。(CVE-2013-4761)

- 存在多种会话漏洞,可允许攻击者劫持任意会话并获得未经授权的访问。(CVE-2013-4762、CVE-2013-4964)

- 存在一个与“Puppet Module Tool”(PMT) 和错误的权限有关的错误。(CVE-2013-4956)

- 存在多种安全绕过漏洞,可允许攻击者获得未经授权的访问并执行敏感事务。(CVE-2013-4958、CVE-2013-4962)

- 存在多种信息泄露漏洞,可允许攻击者访问服务器软件版本、MAC 地址、SSH 密钥和数据库密码等敏感信息。
(CVE-2013-4959、CVE-2013-4961、CVE-2013-4967)

- 存在一个开放重定向漏洞,可允许攻击者尝试进行钓鱼攻击。
(CVE-2013-4955)

- 存在点击劫持和跨站脚本漏洞,可允许攻击者诱骗用户向其发送密码等敏感信息。
(CVE-2013-4968)

- 存在一个跨站请求伪造漏洞,可允许攻击者操纵已登录用户的浏览器以代表该用户执行敏感事务。(CVE-2013-4963)

解决方案

升级到 Puppet Enterprise 3.0.1 或更高版本。

另见

https://puppet.com/security/cve/cve-2013-4073

https://puppet.com/security/cve/cve-2013-4761

https://puppet.com/security/cve/cve-2013-4762

https://puppet.com/security/cve/cve-2013-4955

https://puppet.com/security/cve/cve-2013-4956

https://puppet.com/security/cve/cve-2013-4958

https://puppet.com/security/cve/cve-2013-4959

https://puppet.com/security/cve/cve-2013-4961

https://puppet.com/security/cve/cve-2013-4962

https://puppet.com/security/cve/cve-2013-4963

https://puppet.com/security/cve/cve-2013-4964

https://puppet.com/security/cve/cve-2013-4967

https://puppet.com/security/cve/cve-2013-4968

插件详情

严重性: Medium

ID: 70663

文件名: puppet_enterprise_301.nasl

版本: 1.9

类型: remote

系列: CGI abuses

发布时间: 2013/10/28

最近更新时间: 2021/1/19

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.9

时间分数: 5.1

矢量: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

漏洞信息

CPE: cpe:/a:puppetlabs:puppet

必需的 KB 项: puppet/rest_port

易利用性: No exploit is required

补丁发布日期: 2013/8/15

漏洞发布日期: 2013/8/15

参考资料信息

CVE: CVE-2013-4073, CVE-2013-4761, CVE-2013-4762, CVE-2013-4955, CVE-2013-4956, CVE-2013-4958, CVE-2013-4959, CVE-2013-4961, CVE-2013-4962, CVE-2013-4963, CVE-2013-4964, CVE-2013-4967, CVE-2013-4968

BID: 60843, 61805, 61806, 61856, 61857, 61859, 61860, 61861, 61862, 61870, 61945, 61949, 66541

CWE: 20, 442, 629, 711, 712, 722, 725, 74, 750, 751, 79, 800, 801, 809, 811, 864, 900, 928, 931, 990