Puppetlabs Puppet 至 2.7.2 Console 加密问题漏洞
CVE编号
CVE-2013-2716利用情况
暂无补丁情况
N/A披露时间
2013-04-11漏洞描述
Puppet是Puppet Labs基于ruby语言开发的自动化系统配置工具,可以以C/S 模式或独立模式运行,支持对所有UNIX及类UNIX系统的配置。 当应用程序从1.2.x或2.0.x升级到2.5.0至2.7.2时引入一个漏洞,在这种情况下CAS客户端配置文件`/etc/puppetlabs/console-auth/cas_client_config.yml`没有使用随机密钥,因此攻击者可以提交特制的恶意cookie绕过控制验证。此漏洞仅影响控制台(console)角色。解决建议
Puppet Enterprise 2.8.0已经修复此漏洞,建议用户下载更新:https://puppetlabs.com/
参考链接 |
|
|---|---|
| http://secunia.com/advisories/52862 | |
| https://exchange.xforce.ibmcloud.com/vulnerabilities/83171 | |
| https://puppetlabs.com/security/cve/cve-2013-2716/ |
受影响软件情况
| # | 类型 | 厂商 | 产品 | 版本 | 影响面 | ||||
| 1 | |||||||||
|---|---|---|---|---|---|---|---|---|---|
| 运行在以下环境 | |||||||||
| 应用 | puppet | puppet_enterprise | * | Up to (including) 2.7.2 | |||||
| 运行在以下环境 | |||||||||
| 应用 | puppet | puppet_enterprise | 2.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | puppet | puppet_enterprise | 2.5.1 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | puppet | puppet_enterprise | 2.5.2 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | puppetlabs | puppet | 1.0.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | puppetlabs | puppet | 1.1.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | puppetlabs | puppet | 1.2.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | puppetlabs | puppet | 2.5.0 | - | |||||
| 运行在以下环境 | |||||||||
| 应用 | puppetlabs | puppet | 2.6.0 | - | |||||
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 无
- 影响范围 N/A
- 用户交互 无
- 可用性 无
- 保密性 无
- 完整性 部分地
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论