2017-0901: Puppet, Puppet Enterprise: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-05-24 11:15)

Neues Advisory

Version 2 (2017-05-26 16:35)

Debian stellt für die stabile Distribution Jessie ein Backport-Sicherheitsupdate zur Behebung der Schwachstelle bereit.

Version 3 (2017-07-25 12:12)

Für openSUSE Leap 42.3 und openSUSE Leap 42.2 stehen Sicherheitsupdates für 'rubygem-puppet' bereit, um die Schwachstelle zu beheben.

Version 4 (2017-08-09 19:16)

Für die SUSE Linux Enterprise Produkte Module for Advanced Systems Management 12 sowie Desktop 12 SP2 und SP3 stehen Sicherheitsupdates bereit, um die Schwachstelle für Puppet zu beheben.

Version 5 (2018-03-05 17:29)

Für SUSE Linux Enterprise Server 11 SP4 steht ein Sicherheitsupdate für 'puppet' zur Verfügung, um diese Schwachstelle zu beheben.

Betroffene Software

Server
Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in Puppet ermöglicht es einem entfernten, einfach authentisierten Angreifer beliebigen Programmcode auf einem Puppet Server auszuführen.

Der Hersteller hat bzw. wird diese Schwachstelle mit den Releases Puppet 4.10.1, Puppet Agent 1.10.1, Puppet Enterprise 2016.4.5 und Puppet Enterprise 2017.2.1 beheben.

Für Fedora 25 und 26 stehen die Pakete 'puppet-4.2.1-5.fc25' und 'puppet-4.6.2-4.fc26' als Sicherheitsupdates bereit. Das Sicherheitsupdate für Fedora 25 befindet sich noch im Status 'pending', während das Sicherheitsupdates für Fedora 26 bereits den Status 'testing' besitzt.

Schwachstellen:

CVE-2017-2295

Schwachstelle in Puppet Server ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.