发布日期:2013-04-11
更新日期:2013-04-12
受影响系统:
Puppet Labs Puppet Enterprise 2.x
描述:
--------------------------------------------------------------------------------
Puppet Enterprise是IT自动化软件。
Puppet Enterprise 2.x内存在安全漏洞,恶意用户可利用此漏洞绕过某些安全限制。CAS客户端配置文件在升级应用时,配置文件`/etc/puppetlabs/console-auth/cas_client_config.yml`安装无需随机化密码,攻击者通过特制的cookie,利用此漏洞可绕过控制台身份验证。
<*来源:vendor
链接:
https://puppetlabs.com/security/cve/cve-2013-2716/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Puppet Labs
-----------
PE 2.8.0已修补该漏洞。安装了旧版本的用户可通过如下命令修复
/opt/puppet/bin/rake -f /opt/puppet/share/console-auth/Rakefile console:auth:generate_secret
厂商见