首页 -> 安全研究

安全研究

安全漏洞
Puppet Console 身份验证绕过漏洞

发布日期:2013-04-11
更新日期:2013-04-12

受影响系统:
Puppet Labs Puppet Enterprise 2.x
描述:
CVE(CAN) ID: CVE-2013-2716

Puppet Enterprise是IT自动化软件。

Puppet Enterprise 2.x内存在安全漏洞,恶意用户可利用此漏洞绕过某些安全限制。CAS客户端配置文件在升级应用时,配置文件`/etc/puppetlabs/console-auth/cas_client_config.yml`安装无需随机化密码,攻击者通过特制的cookie,利用此漏洞可绕过控制台身份验证。

<*来源:vendor
  
  链接:http://secunia.com/advisories/52862
        https://puppetlabs.com/security/cve/cve-2013-2716/
*>

建议:
厂商补丁:

Puppet Labs
-----------
PE 2.8.0已修补该漏洞。安装了旧版本的用户可通过如下命令修复

/opt/puppet/bin/rake -f /opt/puppet/share/console-auth/Rakefile console:auth:generate_secret

厂商见
http://puppetlabs.com/puppet/what-is-puppet/

浏览次数:4361
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障