Risque(s)
- exécution de code arbitraire à distance
- atteinte à la confidentialité des données
- injection de code indirecte à distance
Systèmes affectés
- Versions antérieures à Puppet Enterprise 3.0.1
- versions antérieures à Puppet Enterprise 2.8.3
- versions antérieures à Puppet 3.2.4
- versions antérieures à Puppet 2.7.23
Résumé
De multiples vulnérabilités ont été corrigées dans Puppet. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletins de sécurité Puppet
http://puppetlabs.com/security
- Référence CVE CVE-2013-4073
https://www.cve.org/CVERecord?id=CVE-2013-4073
- Référence CVE CVE-2013-4761
https://www.cve.org/CVERecord?id=CVE-2013-4761
- Référence CVE CVE-2013-4762
https://www.cve.org/CVERecord?id=CVE-2013-4762
- Référence CVE CVE-2013-4955
https://www.cve.org/CVERecord?id=CVE-2013-4955
- Référence CVE CVE-2013-4956
https://www.cve.org/CVERecord?id=CVE-2013-4956
- Référence CVE CVE-2013-4958
https://www.cve.org/CVERecord?id=CVE-2013-4958
- Référence CVE CVE-2013-4959
https://www.cve.org/CVERecord?id=CVE-2013-4959
- Référence CVE CVE-2013-4961
https://www.cve.org/CVERecord?id=CVE-2013-4961
- Référence CVE CVE-2013-4962
https://www.cve.org/CVERecord?id=CVE-2013-4962
- Référence CVE CVE-2013-4963
https://www.cve.org/CVERecord?id=CVE-2013-4963
- Référence CVE CVE-2013-4964
https://www.cve.org/CVERecord?id=CVE-2013-4964
- Référence CVE CVE-2013-4967
https://www.cve.org/CVERecord?id=CVE-2013-4967
- Référence CVE CVE-2013-4968
https://www.cve.org/CVERecord?id=CVE-2013-4968
- Référence Puppet CVE-2013-4073 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4073
- Référence Puppet CVE-2013-4761 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4761
- Référence Puppet CVE-2013-4762 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4762
- Référence Puppet CVE-2013-4955 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4955
- Référence Puppet CVE-2013-4956 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4956
- Référence Puppet CVE-2013-4958 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4958
- Référence Puppet CVE-2013-4959 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4959
- Référence Puppet CVE-2013-4961 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4961
- Référence Puppet CVE-2013-4962 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4962
- Référence Puppet CVE-2013-4963 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4963
- Référence Puppet CVE-2013-4964 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4964
- Référence Puppet CVE-2013-4967 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4967
- Référence Puppet CVE-2013-4968 du 15 août 2013
http://puppetlabs.com/security/cve/CVE-2013-4968