低危 多款Puppet产品YAML反序列化远程代码执行漏洞

CVE编号

CVE-2017-2295

利用情况

暂无

补丁情况

官方补丁

披露时间

2017-07-06

漏洞描述

4.10.1之前的Puppet版本将使用攻击者指定的格式反序列化数据(在本例中是从代理到服务器)。这可以用来以不安全的方式强制YAML反序列化，从而导致远程代码执行。这种更改限制了连接到PSON或安全解码YAML的数据的格式。

解决建议

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：https://puppet.com/security/cve/cve-2017-2295

参考链接
http://www.debian.org/security/2017/dsa-3862
http://www.securityfocus.com/bid/98582
https://puppet.com/security/cve/cve-2017-2295

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	puppet	puppet	*		Up to (including) 4.10.0
	运行在以下环境
	系统	amazon_AMI	puppet3	*		Up to (excluding) 3.7.4-1.13.amzn1
	运行在以下环境
	系统	debian	DPKG	*		Up to (excluding) 4.8.2-5
	运行在以下环境
	系统	debian_10	puppet	*		Up to (excluding) 4.8.2-5
	运行在以下环境
	系统	debian_11	puppet	*		Up to (excluding) 4.8.2-5
	运行在以下环境
	系统	debian_7	puppet	*		Up to (excluding) 2.7.23-1~deb7u4
	运行在以下环境
	系统	debian_8	puppet	*		Up to (excluding) 3.7.2-4+deb8u1
	运行在以下环境
	系统	fedora_25	puppet	*		Up to (excluding) 4.2.1-5.fc25
	运行在以下环境
	系统	fedora_26	puppet	*		Up to (excluding) 4.6.2-4.fc26
	运行在以下环境
	系统	opensuse_Leap_42.2	ruby2.2-rubygem-puppet-testsuite	*		Up to (excluding) 3.8.7-20.1
	运行在以下环境
	系统	opensuse_Leap_42.3	ruby2.2-rubygem-puppet-testsuite	*		Up to (excluding) 3.8.7-20.1
	运行在以下环境
	系统	suse_11_SP4	puppet-server	*		Up to (excluding) 2.7.26-0.5.3.1
	运行在以下环境
	系统	suse_12	puppet	*		Up to (excluding) 3.8.5-15.3
	运行在以下环境
	系统	suse_12_SP2	puppet	*		Up to (excluding) 3.8.5-15.3.3
	运行在以下环境
	系统	suse_12_SP3	puppet	*		Up to (excluding) 3.8.5-15.3.3
	运行在以下环境
	系统	ubuntu_14.04	puppet	*		Up to (excluding) 3.4.3-1ubuntu1.2
	运行在以下环境
	系统	ubuntu_14.04.6_lts	puppet	*		Up to (excluding) 3.4.3-1ubuntu1.2
	运行在以下环境
	系统	ubuntu_18.04.5_lts	puppet	*		Up to (excluding) 4.8.2-5ubuntu1
	运行在以下环境
	系统	ubuntu_18.10	puppet	*		Up to (excluding) 4.8.2-5ubuntu1

阿里云评分 3.7

• 攻击路径 远程
• 攻击复杂度 困难
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 100

CWE-ID	漏洞类型
CWE-502	可信数据的反序列化

Exp相关链接

- avd.aliyun.com