Puppet Enterprise跨站脚本和安全绕过漏洞

文章由LinuxBoy分享于2019-04-02 03:04:21热评（389）

Puppet Enterprise跨站脚本和安全绕过漏洞

发布日期：2013-08-20
更新日期：2013-08-21

受影响系统：
Puppet Labs Puppet Enterprise 3.x
不受影响系统：
Puppet Labs Puppet Enterprise 3.0.1
描述：
--------------------------------------------------------------------------------
BUGTRAQ ID: 61860
CVE(CAN) ID: CVE-2013-4968

Puppet是帮助系统管理员管理基础架构的IT自动化软件。

Puppet Enterprise 3.0.1存在点击劫持攻击漏洞，攻击者引诱用户单击透明层或不透明层上的按钮或链接，而非用户希望单击的链接，从而获取用户密码等敏感信息，执行任意代码等未授权操作。

<*来源：Puppet Labs

链接：http://www.securelist.com/en/advisories/54552
http://puppetlabs.com/security/cve/cve-2013-4968
*>

建议：
--------------------------------------------------------------------------------
厂商补丁：

Puppet Labs
-----------
Puppet Labs已经为此发布了一个安全公告（cve-2013-4968）以及相应补丁:
cve-2013-4968：CVE-2013-4968 (Site Lacked Clickjacking Defense)
链接：http://puppetlabs.com/security/cve/cve-2013-4968

Puppet 的详细介绍：请点这里
Puppet 的下载地址：请点这里

Puppet 学习系列：

Puppet 学习一：安装及简单实例应用

Puppet学习二:简单模块配置和应用

推荐文章：

Puppet Enterprise跨站脚本和安全绕过漏洞