Detalji

U radu programskog paketa puppet uočeno je nekoliko sigurnosnih propusta koje zlonamjerni korisnik može iskoristiti za čitanje i prepisivanje proizvoljnih datoteka na disku, pokretanje proizvoljnog programskog koda ili izvođenje DoS napada.

Paket: puppet 2.x
Operacijski sustavi: Debian Linux 6.0 (squeeze), Debian Linux sid (unstable), Debian Linux wheezy (testing)
Kritičnost: 6.3
Problem: pogreška u programskoj komponenti
Iskorištavanje: lokalno/udaljeno
Posljedica: izmjena podataka, otkrivanje osjetljivih informacija, podmetanje zlonamjerno oblikovanih datoteka, proizvoljno izvršavanje programskog koda, uskraćivanje usluga (DoS)
Rješenje: programska zakrpa proizvođača
CVE: CVE-2012-1906, CVE-2012-1986, CVE-2012-1987, CVE-2012-1988
Izvorni ID preporuke: DSA-2451-1
Izvor: Debian
 
Problem:
Propusti su posljedica upotrebe predvidiljivih imena privremenih daoteka pri preuzimanju Mac OS X paketa i nepravilnog rukovanja "filebucket" zahtjevima.
Posljedica:
Navedene propuste moguće je iskoristiti za čitanje i prepisivanje proizvoljnih datoteka, pokretanje proizvoljnog programskog koda ili izvođenje DoS napada.
Rješenje:
Kako bi se zaštitili, korisnicima se savjetuje korištenje odgovarajuće programske nadogradnje.

Izvorni tekst preporuke
Idi na vrh