漏洞信息详情
多款Puppet产品非信任搜索路径漏洞
- CNNVD编号:CNNVD-201406-645
- 危害等级: 中危
- CVE编号: CVE-2014-3248
- 漏洞类型: 代码问题
- 发布时间: 2014-06-30
- 威胁类型: 本地
- 更新时间: 2019-07-11
- 厂 商: puppetlabs
- 漏洞来源: Dennis Rowe
漏洞简介
Puppet等都是美国Puppet实验室开发的产品。Puppet是一套基于客户端/服务器(C/S)架构的配置管理工具;Puppet Enterprise是一个企业版;Facter是一个用于获取客户端系统信息(如主机名、IP地址和操作系统版本等)的包。
多款Puppet产品中存在非信任搜索路径漏洞。当程序运行在Ruby 1.9.1及之前版本上时,本地攻击者可借助当前工作目录中的Trojan horse文件利用该漏洞获取权限。以下产品和版本受到影响:Puppet Enterprise 2.8.7之前2.8版本,Puppet 2.7.26之前版本和3.6.2之前3.x版本,Facter 1.6.x版本和2.0.2之前2.x版本,Hiera 1.3.4之前版本和Mcollective 2.5.2之前版本。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://puppetlabs.com/security/cve/cve-2014-3248
参考网址
来源:MISC
链接:http://rowediness.com/2014/06/13/cve-2014-3248-a-little-problem-with-puppet/
来源:CONFIRM
链接:http://puppetlabs.com/security/cve/cve-2014-3248
来源:SECUNIA
链接:http://secunia.com/advisories/59197
来源:SECUNIA
链接:http://secunia.com/advisories/59200
来源:BID
链接:https://www.securityfocus.com/bid/68035
受影响实体
- Puppetlabs Facter:1.6.18
- Puppetlabs Facter:2.0.1
- Puppetlabs Marionette-Collective:2.5.1
- Puppetlabs Hiera:1.3.3
- Puppetlabs Puppet:2.8.6:~~Enterprise~~~
补丁
- 多款Puppet产品非信任搜索路径漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论