1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
<define-tag description>flere sårbarheder</define-tag>
<define-tag moreinfo>
<p>Flere sikkerhedsproblemer er opdaget i puppet, et centraliseret system til
håndtering af opsætninger. Projektet Common Vulnerabilities and Exposures har
registreret følgende problemer:</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3848">CVE-2011-3848</a>
<p>Kristian Erik Hermansen rapporterede at et uautentificeret mappegenneløb
kunne smide en vilkårlig, gyldig X.509 Certificate Signing Request par et
vilkårlig sted på disken, med rettighederne hørend til applikationen Puppet
Master.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3870">CVE-2011-3870</a>
<p>Ricky Zhou opdagede en potentiel lokal rettighedsforøgelse i ressourcen
ssh_authorized_keys og teoretisk i Solaris- og AIX-providere, hvor
filejerskab blev givet væk før den var skrevet, førende til en mulighed for
en bruger, til at overskrive vilkårlige filer som root, hvis dennes
authorized_keys-fil blev håndteret af programmet.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3869">CVE-2011-3869</a>
<p>Et forudsigeligt filnavn i k5login-type førte til muligheden for
symlinkangreb, hvilke kunne gøre det muligt for ejeren af home-mappen, at
symlinke til noget vilkårligt på systemet, og erstatte det med filens
<q>korrekte</q> indhold, som kunne føre til en rettighedsforøgelse når
puppet kørte.</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2011-3871">CVE-2011-3871</a>
<p>En potentiel lokal rettighedsforøgelse blev fundet i <q>puppet
resource</q>s --edit-tilstand, på grund af et persistent, forudsigeligt
filnavn, hvilket kunne medføre redigering af en vilkårlig målfil, og dermed
blive narret til at køre denne vilkårlig fil, som den kaldende bruger.
Kommandoen anvendes især som root, dermed førende til en potentiel
rettighedsforøgelse.</p></li>
</ul>
<p>Desuden stærker denne opdatering <q>indirector file backed terminus
base</q>-klassen mod indsprøjtnignsangreb baseret på stinavne, der er tillid
til.</p>
<p>I den gamle stabile distribution (lenny), vil dette problem snart blive
rettet.</p>
<p>I den stabile distribution (squeeze), er dette problem rettet i version
2.6.2-5+squeeze1.</p>
<p>I distributionen testing (wheezy), er dette problem rettet i version
2.7.3-3.</p>
<p>I den ustabile distribution (sid), er dette problem rettet i version
2.7.3-3.</p>
<p>Vi anbefaler at du opgraderer dine puppet-pakker.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2011/dsa-2314.data"
|
