CH azonosító
CH-10252Angol cím
Puppet Enterprise Multiple VulnerabilitiesFelfedezés dátuma
2013.12.26.Súlyosság
MagasÖsszefoglaló
A Puppet Enterprise többszörös sérülékenységét jelentették be.
Leírás
A sérülékenységeket kihasználva rosszindulatú, helyi felhasználók módosíthatnak bizonyos adatokat, és a támadók cross-site scripting (CSS/XSS) támadásokat hajthatnak végre, ami szolgáltatás megtagadást (DoS) eredményezhet, valamint feltörhetik a sérülékeny rendszert.
1) A Ruby sebezhető verziójú alkalmazás csomagjai.
További információ:
SECUNIA 55787
SECUNIA 55864 (#1 – #3)
2) Az alkalmazás létrehoz bizonyos ideiglenes fájlokat gyenge jogosultságokkal, amelyek kihasználhatóak pl. bizonyos fájlok manipulálására symlink támadásokon keresztül.
A sérülékenységeket a 3.1.1. előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraMegoldás
Frissítés a 3.1.1. számú verzióra.
Támadás típusa
Cross Site Scripting (XSS/CSS)Deny of service (Szolgáltatás megtagadás)
Other (Egyéb)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
CVE-2013-4164 - NVD CVE-2013-4164
CVE-2013-4491 - NVD CVE-2013-4491
CVE-2013-4969 - NVD CVE-2013-4969
CVE-2013-6414 - NVD CVE-2013-6414
CVE-2013-6415 - NVD CVE-2013-6415
Gyártói referencia: puppetlabs.com
Gyártói referencia: puppetlabs.com
Gyártói referencia: puppetlabs.com
Gyártói referencia: puppetlabs.com
Gyártói referencia: puppetlabs.com