Objet: Multiples vulnérabilités dans Puppet

Risque(s)

• exécution de code arbitraire à distance
• atteinte à la confidentialité des données
• injection de code indirecte à distance

Systèmes affectés

• Versions antérieures à Puppet Enterprise 3.0.1
• versions antérieures à Puppet Enterprise 2.8.3
• versions antérieures à Puppet 3.2.4
• versions antérieures à Puppet 2.7.23

Résumé

De multiples vulnérabilités ont été corrigées dans Puppet. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance, une atteinte à la confidentialité des données et une injection de code indirecte à distance (XSS).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletins de sécurité Puppet

  http://puppetlabs.com/security
  

• Référence CVE CVE-2013-4073

  https://www.cve.org/CVERecord?id=CVE-2013-4073
  

• Référence CVE CVE-2013-4761

  https://www.cve.org/CVERecord?id=CVE-2013-4761
  

• Référence CVE CVE-2013-4762

  https://www.cve.org/CVERecord?id=CVE-2013-4762
  

• Référence CVE CVE-2013-4955

  https://www.cve.org/CVERecord?id=CVE-2013-4955
  

• Référence CVE CVE-2013-4956

  https://www.cve.org/CVERecord?id=CVE-2013-4956
  

• Référence CVE CVE-2013-4958

  https://www.cve.org/CVERecord?id=CVE-2013-4958
  

• Référence CVE CVE-2013-4959

  https://www.cve.org/CVERecord?id=CVE-2013-4959
  

• Référence CVE CVE-2013-4961

  https://www.cve.org/CVERecord?id=CVE-2013-4961
  

• Référence CVE CVE-2013-4962

  https://www.cve.org/CVERecord?id=CVE-2013-4962
  

• Référence CVE CVE-2013-4963

  https://www.cve.org/CVERecord?id=CVE-2013-4963
  

• Référence CVE CVE-2013-4964

  https://www.cve.org/CVERecord?id=CVE-2013-4964
  

• Référence CVE CVE-2013-4967

  https://www.cve.org/CVERecord?id=CVE-2013-4967
  

• Référence CVE CVE-2013-4968

  https://www.cve.org/CVERecord?id=CVE-2013-4968
  

• Référence Puppet CVE-2013-4073 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4073
  

• Référence Puppet CVE-2013-4761 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4761
  

• Référence Puppet CVE-2013-4762 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4762
  

• Référence Puppet CVE-2013-4955 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4955
  

• Référence Puppet CVE-2013-4956 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4956
  

• Référence Puppet CVE-2013-4958 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4958
  

• Référence Puppet CVE-2013-4959 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4959
  

• Référence Puppet CVE-2013-4961 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4961
  

• Référence Puppet CVE-2013-4962 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4962
  

• Référence Puppet CVE-2013-4963 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4963
  

• Référence Puppet CVE-2013-4964 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4964
  

• Référence Puppet CVE-2013-4967 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4967
  

• Référence Puppet CVE-2013-4968 du 15 août 2013

  http://puppetlabs.com/security/cve/CVE-2013-4968