—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
CVE-2011-3872 – Schwachstelle im Puppet Konfigurationsmanagement System
Das Konfigurationsmanagementtool Puppet enthaelt eine Schwachstelle bei
der Verarbeitung von SSL-Zertifikaten. Es ermoeglicht einem Knoten mit
einem gueltigen Zertifikat, sich gegenueber anderer Knoten als zentraler
Verwaltungsknoten (“Puppet Master”) auszugeben und beliebige Funktionen
mit dessen Rechten auszufuehren. Die Schwachstelle ist nur ausnutzbar,
wenn auf dem angegriffenen Knoten die Variable “certdnsnames” gesetzt
ist und Zertifikate fuer die Authentifizierung der Knoten verwendet
wuerden.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket puppet
Fedora 14
Fedora 15
Fedora 16
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Michael Groening, DFN-CERT
– —
Michael Groening (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-590
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2011-14880
2011-10-25 03:03:01
– ——————————————————————————–
Name : puppet
Product : Fedora 16
Version : 2.6.12
Release : 1.fc16
URL : http://puppetlabs.com
Summary : A network tool for managing many disparate systems
Description :
Puppet lets you centrally manage every important aspect of your system using a
cross-platform specification language that manages all the separate elements
normally aggregated in different files, like users, cron jobs, and hosts,
along with obviously discrete elements like packages, services, and files.
– ——————————————————————————–
Update Information:
A bug in puppet’s SSL certificate handling could allow nodes with a valid certificate to impersonate the puppet master. To be vulnerable, a user would have had to set the certdnsnames variable and generated certificates. This setting is not set by default in the Fedora/EPEL packages.
This update closes the vulnerability in newly generated certificates, but cannot prevent existing certificates from being used to exploit the vulnerability. Please refer to the upstream documentation for more details on mitigation and remediation of this issue, if you have generate certificates that are vulnerable to this issue:
http://puppetlabs.com/security/cve/cve-2011-3872/
– ——————————————————————————–
ChangeLog:
* Sun Oct 23 2011 Todd Zullinger
– – Update to 2.6.12, fixes CVE-2011-3872
– – Add upstream patch to restore Mongrel XMLRPC functionality (upstream #10244)
– – Apply partial fix for upstream #9167 (tagmail report sends email when nothing
happens)
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update puppet’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
https://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v2.0.16 (GNU/Linux)
iQEcBAEBAgAGBQJOyko3AAoJEJtyb8U7iGZB5q4H/2/bWerphF8HrvfutCZV2jTt
wTHxB4SFfpMM+08/wuJotkNWd908Roue+RCslhtFVT5Hzm/nHF6N+oLcY4GWkJER
7uKCQgXo/7pQX4FYiARTAThCwUdw6JS8e6njOUc+KCW8uARU4xCtb5MN7K5SpqVj
VSch3juKL5+4wlKDPDL5d4qeNoygMe9/TqYxG6W4wZkqhja+hzgkcKJV83emqDfV
g4Ue7n0Z6PRssXQGgsBUdPvfpFhbVMh6cuTL+NmrDwZemyzoeQqPjH+ljgiLhzns
vSyieBHZ4e41us7W2kFZ95g+yypQ8G+dRi8Cfh0V5f1rvtPGhbcIJj6qTtYs5xs=
=wU+G
—–END PGP SIGNATURE—–
