Puppet Console 身份验证绕过漏洞

发布日期:2013-04-11
更新日期:2013-04-12

受影响系统:
Puppet Labs Puppet Enterprise 2.x
描述:
--------------------------------------------------------------------------------
Puppet Enterprise是IT自动化软件。
 
Puppet Enterprise 2.x内存在安全漏洞,恶意用户可利用此漏洞绕过某些安全限制。CAS客户端配置文件在升级应用时,配置文件`/etc/puppetlabs/console-auth/cas_client_config.yml`安装无需随机化密码,攻击者通过特制的cookie,利用此漏洞可绕过控制台身份验证。
 
<*来源:vendor
 
  链接:
        https://puppetlabs.com/security/cve/cve-2013-2716/
 *>

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Puppet Labs
 -----------
 PE 2.8.0已修补该漏洞。安装了旧版本的用户可通过如下命令修复
 
/opt/puppet/bin/rake -f /opt/puppet/share/console-auth/Rakefile console:auth:generate_secret
 
厂商见
 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/ppsgp.html