检测

FreeBSD:puppet -- 多种漏洞 (2b2f6092-0694-11e3-9e8e-000c29f6ae42)

medium Nessus 插件 ID 69395

语言:

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Puppet Labs 报告:

通过使用“resource_type”服务,攻击者可导致 puppet 从 puppet 主控端节点的文件系统加载任意 Ruby 文件。由于默认不启用此行为,所以将修改“auth.conf”设置以允许此行为。要利用此漏洞,需要 Puppet 主控端的本地文件系统访问权限。

Puppet 模块工具 (PMT) 不能正确控制其安装的模块的权限,而是转移构建模块时存在的权限。

解决方案

更新受影响的数据包。

另见

https://puppet.com/security/cve/cve-2013-4761

https://puppet.com/security/cve/cve-2013-4956

http://www.nessus.org/u?84784cdd

插件详情

严重性: Medium

ID: 69395

文件名: freebsd_pkg_2b2f6092069411e39e8e000c29f6ae42.nasl

版本: 1.6

类型: local

发布时间: 2013/8/20

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.8

CVSS v2

风险因素: Medium

基本分数: 5.1

矢量: CVSS2#AV:N/AC:H/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:puppet, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2013/8/16

漏洞发布日期: 2013/7/5

参考资料信息

CVE: CVE-2013-4761, CVE-2013-4956