Dva sigurnosna propusta paketa Puppet

Otkrivena su i ispravljena dva sigurnosna propusta u radu programskog paketa Puppet. Napadač ih može iskoristiti za prepisivanje proizvoljnih datoteka, dobivanje većih ovlasti te izvođenje proizvoljnog programskog koda s administratorskim ovlastima.

Paket:	puppet 0.x
Operacijski sustavi:	Ubuntu Linux 10.04, Ubuntu Linux 10.10, Ubuntu Linux 11.04, Ubuntu Linux 11.10
Kritičnost:	5.8
Problem:	nepravilno rukovanje ovlastima, pogreška u programskoj komponenti
Iskorištavanje:	lokalno/udaljeno
Posljedica:	dobivanje većih privilegija, izmjena podataka, pokretanje proizvoljnih naredbi
Rješenje:	programska zakrpa proizvođača
CVE:	CVE-2012-1053, CVE-2012-1054
Izvorni ID preporuke:	USN-1372-1
Izvor:	Ubuntu

Problem:
Nedostaci su posljedica nepravilnog rukovanja ovlastima prilikom izvođenja naredbi različitih korisnika te nesigurnog otvaranja datoteka pri korištenju "k5login".
Posljedica:
Navedeni propusti mogu se iskoristiti za prepisivanje proizvoljnih datoteka, dobivanje većih ovlasti te izvršavanje zlonamjernog programskog koda s root ovlastima.
Rješenje:
Kako bi se zaštitili, korisnicima se savjetuje korištenje odgovarajuće programske nadogradnje.

Izvorni tekst preporuke

==========================================================================
Ubuntu Security Notice USN-1372-1
February 23, 2012

puppet vulnerabilities
==========================================================================

A security issue affects these releases of Ubuntu and its derivatives:

- Ubuntu 11.10
- Ubuntu 11.04
- Ubuntu 10.10
- Ubuntu 10.04 LTS

Summary:

Puppet could be made to overwrite files and run programs with administrator
privileges.

Software Description:
- puppet: Centralized configuration management

Details:

It was discovered that Puppet did not drop privileges when executing
commands as different users. If an attacker had control of the execution
manifests or the executed command, this could be used to execute code with
elevated group permissions (typically root). (CVE-2012-1053)

It was discovered that Puppet unsafely opened files when the k5login type
is used to manage files. A local attacker could exploit this to overwrite
arbitrary files and escalate privileges. (CVE-2012-1054)

Update instructions:

The problem can be corrected by updating your system to the following
package versions:

Ubuntu 11.10:
  puppet-common                   2.7.1-1ubuntu3.5

Ubuntu 11.04:
  puppet-common                   2.6.4-2ubuntu2.8

Ubuntu 10.10:
  puppet-common                   2.6.1-0ubuntu2.6

Ubuntu 10.04 LTS:
  puppet-common                   0.25.4-2ubuntu6.6

In general, a standard system update will make all the necessary changes.

References:
  http://www.ubuntu.com/usn/usn-1372-1
  CVE-2012-1053, CVE-2012-1054

Package Information:
  https://launchpad.net/ubuntu/+source/puppet/2.7.1-1ubuntu3.5
  https://launchpad.net/ubuntu/+source/puppet/2.6.4-2ubuntu2.8
  https://launchpad.net/ubuntu/+source/puppet/2.6.1-0ubuntu2.6
  https://launchpad.net/ubuntu/+source/puppet/0.25.4-2ubuntu6.6

Dva sigurnosna propusta paketa Puppet

Tražilica portala

Aktivnosti

O CIS-u

Posljednje vijesti

Posljednji dokumenti

Dva sigurnosna propusta paketa Puppet

Tražilica portala

Aktivnosti

O CIS-u

Posljednje sigurnosne preporuke

Posljednje vijesti

Popularni članci

Posljednji dokumenti