Risque(s)
- déni de service à distance
- atteinte à l'intégrité des données
- injection de code indirecte à distance
Systèmes affectés
- Puppet versions antérieures à 3.3.3
- Puppet versions antérieures à 3.4.1
- Puppet Entreprise versions antérieures à 2.8.4
- Puppet Entreprise versions antérieures à 3.1.1
Résumé
De multiples vulnérabilités ont été corrigées dans Puppet. Elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à l'intégrité des données et une injection de code indirecte à distance (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Puppet cve-2013-4164 du 26 décembre 2013
http://puppetlabs.com/security/cve/cve-2013-4164
- Bulletin de sécurité Puppet cve-2013-4363 du 26 décembre 2013
http://puppetlabs.com/security/cve/cve-2013-4363
- Bulletin de sécurité Puppet cve-2013-4491 du 26 décembre 2013
http://puppetlabs.com/security/cve/cve-2013-4491
- Bulletin de sécurité Puppet cve-2013-4969 du 26 décembre 2013
http://puppetlabs.com/security/cve/cve-2013-4969
- Bulletin de sécurité Puppet cve-2013-6414 du 26 décembre 2013
http://puppetlabs.com/security/cve/cve-2013-6414
- Bulletin de sécurité Puppet cve-2013-6415 du 26 décembre 2013
http://puppetlabs.com/security/cve/cve-2013-6415
- Bulletin de sécurité Puppet cve-2013-6417 du 26 décembre 2013
http://puppetlabs.com/security/cve/cve-2013-6417
- Référence CVE CVE-2013-4164
https://www.cve.org/CVERecord?id=CVE-2013-4164
- Référence CVE CVE-2013-4363
https://www.cve.org/CVERecord?id=CVE-2013-4363
- Référence CVE CVE-2013-4491
https://www.cve.org/CVERecord?id=CVE-2013-4491
- Référence CVE CVE-2013-4969
https://www.cve.org/CVERecord?id=CVE-2013-4969
- Référence CVE CVE-2013-6414
https://www.cve.org/CVERecord?id=CVE-2013-6414
- Référence CVE CVE-2013-6415
https://www.cve.org/CVERecord?id=CVE-2013-6415
- Référence CVE CVE-2013-6417
https://www.cve.org/CVERecord?id=CVE-2013-6417