Debian DSA-2643-1：puppet - 多个漏洞

high Nessus 插件 ID 65228

语言：

简介

远程 Debian 主机缺少与安全相关的更新。

描述

在集中化配置管理系统 Puppet 中发现多种漏洞。

- CVE-2013-1640 经过认证的恶意客户端可从 Puppet 主控端请求其目录，并造成 Puppet 主控端执行任意代码。Puppet 主控端必须在编译目录时调用“template”或“inline_template”函数。

- CVE-2013-1652 经过认证的恶意客户端可能从未经授权访问的 Puppet 主控端中检索目录。如果提供有效证书和私钥，可构造为任意客户端返回目录的 HTTP GET 请求。

- CVE-2013-1653 经过认证的恶意客户端可在接受踢出连接的 Puppet 受控端上执行任意代码。
Puppet 受控端在其默认配置下不易受到影响。但是，如果 Puppet 受控端配置为监听传入的连接，如 listen = true，且受控端的 auth.conf 允许访问“run” REST 端点，则经过认证的客户端可构造 HTTP PUT 请求以在受控端上执行任意代码。由于 Puppet 受控端通常以根用户身份运行，因而使此问题更为糟糕。

- CVE-2013-1654 Puppet 中的一个缺陷允许将 SSL 连接降级为 SSLv2，已知这包含设计缺陷漏洞。这会影响 Puppet 受控端和主控端之间的 SSL 连接，以及 Puppet 受控端与接受 SSLv2 连接的第三方服务器之间的连接。请注意，自 OpenSSL 1.0 开始禁用 SSLv2。

- CVE-2013-1655 未经认证的恶意客户端可向 Puppet 主控端发送请求，并以不安全的方式拥有主控端加载代码。它仅影响运行 ruby 1.9.3 及更高版本的 Puppet 主控端的用户。

- CVE-2013-2274 经过认证的恶意客户端可在默认配置中的 Puppet 主控端上执行任意代码。
如果提供有效的证书和私钥，客户端可构造授权保存客户端自己的报告的 HTTP PUT 请求，但请求实际上将造成 Puppet 主控端执行任意代码。

- CVE-2013-2275 默认 auth.conf 允许经过认证的节点为任何其他节点提交报告，这是一个合规性问题。默认已增加限制，仅允许节点保存自己的报告。