le 2 janvier 2014

De multiples vulnérabilités ont été corrigées dans Puppet. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l'intégrité des données et une injection de code indirecte à distance (XSS).

Il est recommandé de mettre à jour Puppet vers une version supérieure ou égale à 3.3.3 ou 3.4.1.

Risque(s)

• déni de service à distance
• atteinte à l'intégrité des données
• injection de code indirecte à distance

Systèmes affectés

• Puppet versions antérieures à 3.3.3
• Puppet versions antérieures à 3.4.1
• Puppet Entreprise versions antérieures à 2.8.4
• Puppet Entreprise versions antérieures à 3.1.1

Documentation

• Bulletin de sécurité Puppet cve-2013-4164 du 26 décembre 2013 : puppetlabs.com/security/cve/cve-2013-4164
• Bulletin de sécurité Puppet cve-2013-4363 du 26 décembre 2013 : puppetlabs.com/security/cve/cve-2013-4363
• Bulletin de sécurité Puppet cve-2013-4491 du 26 décembre 2013 : puppetlabs.com/security/cve/cve-2013-4491
• Bulletin de sécurité Puppet cve-2013-4969 du 26 décembre 2013 : puppetlabs.com/security/cve/cve-2013-4969
• Bulletin de sécurité Puppet cve-2013-6414 du 26 décembre 2013 : puppetlabs.com/security/cve/cve-2013-6414
• Bulletin de sécurité Puppet cve-2013-6415 du 26 décembre 2013 : puppetlabs.com/security/cve/cve-2013-6415
• Bulletin de sécurité Puppet cve-2013-6417 du 26 décembre 2013 : puppetlabs.com/security/cve/cve-2013-6417
• Référence CVE CVE-2013-4164 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-4363 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-4491 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-4969 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-6414 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-6415 : cve.mitre.org/cgi-bin/cvename.cgi
• Référence CVE CVE-2013-6417 : cve.mitre.org/cgi-bin/cvename.cgi
Bulletin de sécurité du CERTA : www.certa.ssi.gouv.fr/site/CERTA-2013-AVI-687

<- retour vers Bulletins de sécurité