Puppet < 2.7.26 / 3.6.2 和 Enterprise 2.8.x < 2.8.7 多种漏洞
medium Nessus 插件 ID 76344
语言:
简介
远程主机上运行的 Web 应用程序受到多种漏洞的影响。描述
根据其自我报告的版本号,远程主机上的 Puppet 安装受到多种漏洞的影响:- 在捆绑的 Ruby 环境中存在与输入验证和路径相关的权限升级漏洞。攻击者可通过说服用户更改目录然后运行 Puppet 来诱骗特权用户,从而执行任意代码。
(CVE-2014-3248)
- 存在与控制台角色相关的错误,可允许未认证用户通过隐藏和取消隐藏节点获取敏感信息。请注意,此问题仅影响 Puppet Enterprise 安装。
(CVE-2014-3249)
- 存在与 Apache 2.4 和 mod_ssl 'SSLCARevocationCheck' 等配置相关的错误,可允许攻击者获取敏感信息。请注意,此问题不影响 Puppet Enterprise 安装。(CVE-2014-3250)
解决方案
升级到 Puppet 2.7.26 / 3.6.2 或 Puppet Enterprise 2.8.7 或更高版本。另见
https://puppet.com/security/cve/cve-2014-3248
插件详情
严重性: Medium
ID: 76344
文件名: puppet_2_7_26.nasl
版本: 1.6
类型: remote
系列: CGI abuses
发布时间: 2014/7/2
最近更新时间: 2021/1/19
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: Medium
基本分数: 6.2
时间分数: 4.6
矢量: CVSS2#AV:L/AC:H/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2014-3248
漏洞信息
CPE: cpe:/a:puppetlabs:puppet
必需的 KB 项: puppet/rest_port
易利用性: No exploit is required
补丁发布日期: 2014/6/10
漏洞发布日期: 2014/6/10