Security Update: 3.6.2

On 12 czerwca 2014 by puppetmaster

Puppet w wersjach starszych niż 3.6.2 oraz 2.7.26 jest podatny na błąd w ruby niższym niż 1.9.2 (czyli np. powszechnie używane 1.8.7 na RH/CentOS), powodujący, że autoloader ładuje biblioteki z bieżącego katalogu („.”). Ten powszechny błąd w bash, jest też obecny w innych popularnych interpreterach (np. python).

Błąd otrzymał identyfikator CVE-2014-3250.

Atakujący może umieścić w kontrolowanym przez siebie katalogu kod, który zostanie wykonany z uprawnieniami root, jeśli nakłoni administratora, żeby uruchomił puppeta właśnie z tego katalogu.

Patch jest trywialny – jeśli nie chcecie lub nie możecie się upgrade’ować, wystarczy dodać do /usr/bin/puppet:

$LOAD_PATH.delete('.')

Jeśli używacie innych narzędzi z ekosystemu puppeta jako użytkownik root, powinniście również zaopatrzyć się w nowe wersje albo zaaplikować workaround:

Szczegóły odnośnie błędu:

Oprócz tego, najnowsze wydanie łata też błąd w domyślnej konfiguracji, powodujący działanie PKI w Apache’u bez obsługi CRL – została dodana odpowiednia dyrektywa SSLCARevocationCheck (CVE-2014-3253).

Comments are closed.