Puppet欺骗漏洞(CVE-2012-3867)
Puppet欺骗漏洞(CVE-2012-3867)
发布日期:2012-07-12
更新日期:2012-08-20
受影响系统:
Puppet Labs Puppet 2.7.x
Puppet Labs Puppet 2.6.x
Puppet Labs Puppet Enterprise 2.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 54399
CVE ID: CVE-2012-3867
Puppet是帮助系统管理员管理基础架构的IT自动化软件。
Puppet 2.7.18之前版本、Puppet Enterprise 2.5.2之前版本中的lib/puppet/ssl/certificate_authority.rb,没有正确限制CSR的“Common Name”字段内的字符,可允许远程攻击者引诱管理员通过ANSI控制序列签名特制的代理证书。
<*来源:Puppet Labs
链接:http://puppetlabs.com/security/cve/cve-2012-3867/
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
Puppet Labs
-----------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://puppetlabs.com/puppet/what-is-puppet/
评论暂时关闭