安全研究
安全漏洞
安全漏洞
所有系统
AIX
BSD(eg,OpenBSD)
Digital Unix
HP-UX
IRIX
Linux
FreeBSD
SCO UNIX
SunOS
Solaris
Windows
所有类型
远程进入系统
本地越权访问
拒绝服务攻击
嵌入恶意代码
Web数据接口
其他类型
Puppet Console 身份验证绕过漏洞
发布日期:
2013-04-11
更新日期:
2013-04-12
受影响系统:
Puppet Labs Puppet Enterprise 2.x
描述:
CVE(CAN) ID:
CVE-2013-2716
Puppet Enterprise是IT自动化软件。
Puppet Enterprise 2.x内存在安全漏洞,恶意用户可利用此漏洞绕过某些安全限制。CAS客户端配置文件在升级应用时,配置文件`/etc/puppetlabs/console-auth/cas_client_config.yml`安装无需随机化密码,攻击者通过特制的cookie,利用此漏洞可绕过控制台身份验证。
<*来源:vendor
链接:
http://secunia.com/advisories/52862
https://puppetlabs.com/security/cve/cve-2013-2716/
*>
建议:
厂商补丁:
Puppet Labs
-----------
PE 2.8.0已修补该漏洞。安装了旧版本的用户可通过如下命令修复
/opt/puppet/bin/rake -f /opt/puppet/share/console-auth/Rakefile console:auth:generate_secret
厂商见
http://puppetlabs.com/puppet/what-is-puppet/
浏览次数:
4385
严重程度:
0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客