DFN-CERT-2014-0115 Puppet: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][SuSE]

DFN-CERT-2014-0115 Puppet: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Puppet <= 3.2.3 Betroffene Plattformen: Novell SUSE Linux Enterprise Desktop 11 SP2 Novell SUSE Linux Enterprise Desktop 11 SP3 Novell SUSE Linux Enterprise Server 11 SP2 Novell SUSE Linux Enterprise Server 11 SP2 VMware Novell SUSE Linux Enterprise Server 11 SP3 Novell SUSE Linux Enterprise Server 11 SP3 VMware Ein nicht authentifizierter, lokaler Angreifer kann die Schwachstelle zur Ausführung beliebiger Ruby-Programme nutzen. Patch: Novell Hersteller-Advisory SUSE-SU-2014:0155-1 http://lists.opensuse.org/opensuse-security-announce/2014-01/msg00009.html

CVE-2013-4761: Ausführung von Programmen mittels Dienst resource_type

Eine Schwachstelle in Puppet kann ein Angreifer mit Zugriff auf das lokale
Dateisystem des Masters ausnutzen, um beliebige Ruby-Programme ausgehend vom
Master über den ‘resource_type service’ auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0115/

Schwachstelle CVE-2013-4761 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-4761

http://puppetlabs.com/security/cve/cve-2013-4761/:
http://puppetlabs.com/security/cve/cve-2013-4761/

Novell Hersteller-Advisory SUSE-SU-2014:0155-1:
http://lists.opensuse.org/opensuse-security-announce/2014-01/msg00009.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben