| Title | Puppet および Puppet Enterprise における任意のコマンドを実行される脆弱性 |
|---|---|
| Summary | Puppet および Puppet Enterprise (PE) には、任意のコマンドを実行される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-77: Improper Neutralization of Special Elements used in a Command (コマンドインジェクション) と識別されています。 http://cwe.mitre.org/data/definitions/77.html |
| Possible impacts | エージェントの SSL キーおよびファイル作成権限を持つリモート認証されたユーザにより、シェルのメタキャラクタを含むフルパス名のファイルを作成され、filebucket リクエストを実行されることで、任意のコマンドを実行される可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | May 29, 2012, midnight |
| Registration Date | May 31, 2012, 2:52 p.m. |
| Last Update | Feb. 18, 2016, 3:53 p.m. |
| CVSS2.0 : 警告 | |
| Score | 6 |
|---|---|
| Vector | AV:N/AC:M/Au:S/C:P/I:P/A:P |
| Puppet |
| Puppet 2.6.15 未満の 2.6.x |
| Puppet 2.7.13 未満の 2.7.x |
| Puppet 2.6.15 未満の 2.6.x |
| Puppet 2.7.13 未満の 2.7.x |
| Puppet Enterprise 1.0 |
| Puppet Enterprise 1.1 |
| Puppet Enterprise 1.2.x |
| Puppet Enterprise 2.0.x |
| Puppet Enterprise 2.5.1 未満の 2.5.x |
| Puppet Enterprise 1.0 |
| Puppet Enterprise 1.1 |
| Puppet Enterprise 1.2.x |
| Puppet Enterprise 2.0.x |
| Puppet Enterprise 2.5.1 未満の 2.5.x |
| No | Changed Details | Date of change |
|---|---|---|
| 0 | [2012年05月31日] 掲載 [2012年07月26日] ベンダ情報:Fedora Project (FEDORA-2012-5999) を追加 ベンダ情報:Fedora Project (FEDORA-2012-6055) を追加 ベンダ情報:Fedora Project (FEDORA-2012-6674) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:0608) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:0835) を追加 [2016年02月18日] 概要:内容を更新 |
Feb. 17, 2018, 10:37 a.m. |
| 0 | [2012年05月31日] 掲載 [2012年07月26日] ベンダ情報:Fedora Project (FEDORA-2012-5999) を追加 ベンダ情報:Fedora Project (FEDORA-2012-6055) を追加 ベンダ情報:Fedora Project (FEDORA-2012-6674) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:0608) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:0835) を追加 [2016年02月18日] 概要:内容を更新 |
Feb. 17, 2018, 10:37 a.m. |
| Summary | Puppet 2.6.x before 2.6.15 and 2.7.x before 2.7.13, and Puppet Enterprise (PE) Users 1.0, 1.1, 1.2.x, 2.0.x, and 2.5.x before 2.5.1 allows remote authenticated users with agent SSL keys and file-creation permissions on the puppet master to execute arbitrary commands by creating a file whose full pathname contains shell metacharacters, then performing a filebucket request. |
|---|---|
| Publication Date | May 30, 2012, 5:55 a.m. |
| Registration Date | Jan. 28, 2021, 2:57 p.m. |
| Last Update | Nov. 21, 2024, 10:38 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:puppet:puppet:*:*:*:*:*:*:*:* | 2.7.0 | 2.7.13 | |||
| cpe:2.3:a:puppet:puppet:*:*:*:*:*:*:*:* | 2.6.0 | 2.6.15 | |||
| Configuration2 | or higher | or less | more than | less than | |
| cpe:2.3:a:puppet:puppet_enterprise:1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:puppet:puppet_enterprise:1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:puppet:puppet_enterprise:*:*:*:*:*:*:*:* | 1.2.0 | 2.5.1 | |||
| Configuration3 | or higher | or less | more than | less than | |
| cpe:2.3:o:fedoraproject:fedora:17:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:fedoraproject:fedora:16:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:fedoraproject:fedora:15:*:*:*:*:*:*:* | |||||
| Configuration4 | or higher | or less | more than | less than | |
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:* | |||||
| Configuration5 | or higher | or less | more than | less than | |
| cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:*:*:*:* | |||||