Multiples vulnérabilités dans Puppet
le 21 octobre 2013
De multiples vulnérabilités ont été corrigées dans Puppet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et un contournement de la politique de sécurité.
Il est recommandé de mettre à jour Puppet vers une version supérieure ou égale à la 3.1.0.
Risque(s)
- exécution de code arbitraire
- déni de service
- contournement de la politique de sécurité
- atteinte à la confidentialité des données
- injection de code indirecte à distance
- injection de requêtes illégitimes par rebond
Systèmes affectés
- Puppet Enterprise versions antérieures à 3.1.0
Documentation
- Bulletin de sécurité Puppet du 15 octobre 2013 : puppetlabs.com/security
- Référence CVE CVE-2013-4287 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4957 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4958 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4959 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4961 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4962 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4963 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4964 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4965 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4967 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4968 : cve.mitre.org/cgi-bin/cvename.cgi Bulletin de sécurité du CERTA : www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-592
