Salut, Une annonce de sécurité a été publiée, par avance merci pour vos relectures.
Amicalement David
#use wml::debian::translation-check translation="1.3" maintainer="David Prévot" <define-tag description>Plusieurs vulnérabilités</define-tag> <define-tag moreinfo> <p> Plusieurs vulnérabilités ont été découvertes dans Puppet, un système centralisé de gestion de configuration. </p> <ul> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1640";>CVE-2013-1640</a> <p> Un client authentifié malveillant pourrait demander son catalogue au maître Puppet et le forcer à exécuter du code arbitraire. Le maître Puppet doit être fait pour invoquer les fonctions <q>template</q> ou <q>inline_template</q> lors de la compilation du catalogue. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1652";>CVE-2013-1652</a> <p> Un client authentifié malveillant pourrait récupérer des catalogues du maître Puppet auxquels il nâest pas autorisé à accéder. à partir d'un certificat et d'une clef privée valable, une requête HTTP GET pourrait être construite pour renvoyer un catalogue à un client arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1653";>CVE-2013-1653</a> <p> Un client authentifié malveillant pourrait exécuter du code arbitraire sur des agents Puppet acceptant les connexions kick. Les agents Puppet ne sont pas vulnérables dans leur configuration par défaut. Cependant, si un agent Puppet est configuré pour écouter les connexions entrantes, par exemple listen = true, et que l'auth.conf de l'agent permet d'accéder au point de fin REST <q>run</q>, alors un client authentifié peut construire une requête HTTP PUT pour exécuter du code arbitraire sur l'agent. Ce problème est d'autant plus important que les agents sont normalement exécutés en tant que superutilisateur. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1654";>CVE-2013-1654</a> <p> Un bogue dans Puppet permet aux connexions d'être déclassées en SSLv2, connu pour contenir des faiblesses de défaut de conception. Cela affecte les connexions SSL entre agents et maître Puppet, ainsi que les connexions faites par les agents Puppet aux serveurs tiers qui acceptent les connexions SSLv2. Remarquez que SSLv2 est désactivé depuis OpenSSL 1.0. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-1655";>CVE-2013-1655</a> <p> Un client non authentifié malveillant pourrait envoyer des requêtes au maître Puppet et lui faire charger du code de façon non sécurisée. Ãa ne concerne que les utilisateurs dont les maîtres Puppet fonctionnent avec Ruby 1.9.3 et au-delà . </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2274";>CVE-2013-2274</a> <p> Un client non authentifié malveillant pourrait exécuter du code arbitraire sur le maître Puppet dans sa configuration par défaut. à partir d'un certificat et d'une clef privée valable, un client peut construire une requête HTTP PUT autorisée à sauver le propre rapport du client, mais forcer le maître Puppet à exécuter du code arbitraire. </p></li> <li><a href="http://security-tracker.debian.org/tracker/CVE-2013-2275";>CVE-2013-2275</a> <p> L'auth.conf par défaut permet à un nÅud authentifié de soumettre un rapport pour n'importe quel autre nÅud, ce qui pose un problème de conformité. Il a été rendu plus restrictif par défaut pour qu'un nÅud ne soit autorisé qu'à sauver ses propres rapports. </p></li> </ul> <p>Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 2.6.2-5+squeeze7.</p> <p>Pour la distribution testing (Wheezy), ces problèmes ont été corrigés dans la version 2.7.18-3.</p> <p>Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 2.7.18-3.</p> <p>Nous vous recommandons de mettre à jour vos paquets puppet.</p> </define-tag> # do not modify the following line #include "$(ENGLISHDIR)/security/2013/dsa-2643.data" # $Id: dsa-2643.wml,v 1.1 2013-03-13 02:39:36 taffit Exp $
signature.asc
Description: OpenPGP digital signature
