Multiples vulnérabilités dans Puppet
le 14 mars 2014
De multiples vulnérabilités ont été corrigées dans Puppet. Certaines d'entre elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et une atteinte à la confidentialité des données.
Il est recommandé de mettre à jour Puppet Entreprise vers une version supérieure ou égale à 3.2.0.
Risque(s)
- exécution de code arbitraire à distance
- déni de service à distance
- atteinte à la confidentialité des données
- élévation de privilèges
Systèmes affectés
- Versions antérieures à Puppet Enterprise 3.2.0
Documentation
- Bulletin de sécurité Puppet cve-2014-0082 du 04 mars 2014 : puppetlabs.com/security/cve/cve-2014-0082
- Bulletin de sécurité Puppet cve-2014-0060 du 04 mars 2014 : puppetlabs.com/security/cve/cve-2014-0060
- Bulletin de sécurité Puppet cve-2013-4966 du 04 mars 2014 : puppetlabs.com/security/cve/cve-2013-4966
- Bulletin de sécurité Puppet cve-2013-4971 du 04 mars 2014 : puppetlabs.com/security/cve/cve-2013-4971
- Référence CVE CVE-2014-0082 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2014-0060 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4966 : cve.mitre.org/cgi-bin/cvename.cgi
- Référence CVE CVE-2013-4971 : cve.mitre.org/cgi-bin/cvename.cgi
- Bulletin de sécurité du CERT-FR : cert.ssi.gouv.fr/site/CERTFR-2014-AVI-103
