Múltiples vulnerabilidades en puppet en Debian

Clasificación de la vulnerabilidad

Riesgo Medio
Nivel de Confianza Oficial
Impacto Aumento de privilegios
Dificultad Experto
Requerimientos del atacante Acceso remoto sin cuenta a un servicio estandar

Información sobre el sistema
Propiedad Valor
Plataforma afectada GNU/Linux
Software afectado puppet
Descripción
Se han descubierto múltiples vulnerabilidades en "puppet" en Debian. Las vulnerabilidades son descritas a continuación:

- CVE-2011-3848: Se ha descubierto una vulnerabilidad en "puppet" en Debian. La vulnerabilidad reside en un error no especificado.
Un atacante remoto podría obtener acceso mediante métodos no especificados.

- CVE-2011-3869: Se ha descubierto una vulnerabilidad en "puppet" en Debian. La vulnerabilidad reside en un error en el nombre de ciertos archivos en "k5login".
Un atacante remoto podría obtener acceso y aumentar sus privilegios mediante un ataque de enlace simbólico.

- CVE-2011-3870: Se ha descubierto una vulnerabilidad en "puppet" en Debian. La vulnerabilidad reside en un error en "ssh_authorized_keys".
Un atacante remoto podría obtener acceso y aumentar sus privilegios mediante métodos no especificados.

- CVE-2011-3871: Se ha descubierto una vulnerabilidad en "puppet" en Debian. La vulnerabilidad reside en un error en el modo edición de "puppet resource".
Un atacante remoto podría obtener acceso y aumentar sus privilegios mediante métodos no especificados.
Solución


Actualización de software

Debian (DSA-2314-1)
Para la distribución estable (squeeze), este problema se ha corregido en la versión 2.6.2-5 + squeeze1.
Para la distribución de pruebas (wheezy), esto ha sido corregido en la versión 2.7.3-3.
Para la distribución inestable (sid), este problema se ha corregido en la versión 2.7.3-3.
http://www.debian.org/security/


Fuente