blob: 16fb8771ed1c64f86e954495e6dc4e73edaca10d (
plain) (
blame)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
|
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>
<p>
集中型設定管理システム puppet に、複数の問題が発見されました。
The Common Vulnerabilities and Exposures project は以下の問題を認識
しています。
</p>
<ul>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-1906">CVE-2012-1906</a>
<p>
Puppet は Mac OS X のパッケージファイルダウンロード時に予測可能
な一時ファイル名を使用します。この欠陥により、ローカルの攻撃者か
らシステムの任意のファイルの上書きや、任意のパッケージのインスト
ールが可能です。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-1986">CVE-2012-1986</a>
<p>
リモートファイルバケットからのファイル処理要求の処理の際に、puppet
を騙してファイルバケット向けのディスク領域として定義されている場
所を上書きすることが可能です。この欠陥は puppet master へのアクセ
ス権限を持つ認証済みのユーザから攻撃可能で、任意のファイルの読み
出しがおこなえます。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-1987">CVE-2012-1987</a>
<p>
Puppet はファイルバケットへの書き込み要求を適切に処理していません。
この欠陥を攻撃することにより、puppet へのリソース枯渇によるサービ
ス拒否攻撃が可能です。
</p></li>
<li><a href="https://security-tracker.debian.org/tracker/CVE-2012-1988">CVE-2012-1988</a>
<p>
Puppet はファイルバケットへの要求を適切に処理していません。この欠
陥は puppet master へのアクセス権限を持たないがエージェント上での
証明書のアクセス権限は持っているユーザから攻撃可能で、細工したパ
ス名によりファイルバケット要求を作成することにより任意のコードの
実行がおこなえます。
</p></li>
</ul>
<p>
安定版 (stable) ディストリビューション (squeeze) では、この問題はバー
ジョン 2.6.2-5+squeeze5 で修正されています。
</p>
<p>
テスト版ディストリビューション (wheezy) では、この問題はバージョン
2.7.13-1 で修正されています。
</p>
<p>
不安定版 (unstable) ディストリビューション (sid) では、この問題はバー
ジョン 2.7.13-1 で修正されています。
</p>
<p>
直ぐに puppet パッケージをアップグレードすることを勧めます。
</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2012/dsa-2451.data"
# $Id$
|
