Puppet任意文件读取漏洞(CVE-2012-1986)
Puppet任意文件读取漏洞(CVE-2012-1986)
发布日期:2012-07-12
更新日期:2012-08-16
受影响系统:
Puppet Labs Puppet 2.7.x
Puppet Labs Puppet 2.6.x
Puppet Labs Puppet Enterprise 2.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 52975
CVE ID: CVE-2012-1986
Puppet是帮助系统管理员管理基础架构的IT自动化软件。
Puppet 2.6.15之前的2.6.x、2.7.13之前的2.7.x、Puppet Enterprise (PE) Users 1.0、1.1、1.2.x、2.0.x、2.5.1之前的2.5.x在实现上存在任意文件读取漏洞,可允许具有授权SSL密钥和一定权限的远程已验证用户通过符号链接攻击和特制的REST请求读取任意文件。
<*来源:Puppet Labs
链接:http://puppetlabs.com/security/cve/cve-2012-1986/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Puppet Labs
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://puppetlabs.com/puppet/what-is-puppet/
评论暂时关闭