| タイトル | Puppet および Puppet Enterprise における任意のコマンドを実行される脆弱性 |
|---|---|
| 概要 | Puppet および Puppet Enterprise (PE) には、任意のコマンドを実行される脆弱性が存在します。 補足情報 : CWE による脆弱性タイプは、CWE-77: Improper Neutralization of Special Elements used in a Command (コマンドインジェクション) と識別されています。 http://cwe.mitre.org/data/definitions/77.html |
| 想定される影響 | エージェントの SSL キーおよびファイル作成権限を持つリモート認証されたユーザにより、シェルのメタキャラクタを含むフルパス名のファイルを作成され、filebucket リクエストを実行されることで、任意のコマンドを実行される可能性があります。 |
| 対策 | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2012年5月29日0:00 |
| 登録日 | 2012年5月31日14:52 |
| 最終更新日 | 2016年2月18日15:53 |
| CVSS2.0 : 警告 | |
| スコア | 6 |
|---|---|
| ベクター | AV:N/AC:M/Au:S/C:P/I:P/A:P |
| Puppet |
| Puppet 2.6.15 未満の 2.6.x |
| Puppet 2.7.13 未満の 2.7.x |
| Puppet 2.6.15 未満の 2.6.x |
| Puppet 2.7.13 未満の 2.7.x |
| Puppet Enterprise 1.0 |
| Puppet Enterprise 1.1 |
| Puppet Enterprise 1.2.x |
| Puppet Enterprise 2.0.x |
| Puppet Enterprise 2.5.1 未満の 2.5.x |
| Puppet Enterprise 1.0 |
| Puppet Enterprise 1.1 |
| Puppet Enterprise 1.2.x |
| Puppet Enterprise 2.0.x |
| Puppet Enterprise 2.5.1 未満の 2.5.x |
| No | 変更内容 | 変更日 |
|---|---|---|
| 0 | [2012年05月31日] 掲載 [2012年07月26日] ベンダ情報:Fedora Project (FEDORA-2012-5999) を追加 ベンダ情報:Fedora Project (FEDORA-2012-6055) を追加 ベンダ情報:Fedora Project (FEDORA-2012-6674) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:0608) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:0835) を追加 [2016年02月18日] 概要:内容を更新 |
2018年2月17日10:37 |
| 0 | [2012年05月31日] 掲載 [2012年07月26日] ベンダ情報:Fedora Project (FEDORA-2012-5999) を追加 ベンダ情報:Fedora Project (FEDORA-2012-6055) を追加 ベンダ情報:Fedora Project (FEDORA-2012-6674) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:0608) を追加 ベンダ情報:openSUSE (openSUSE-SU-2012:0835) を追加 [2016年02月18日] 概要:内容を更新 |
2018年2月17日10:37 |
| 概要 | Puppet 2.6.x before 2.6.15 and 2.7.x before 2.7.13, and Puppet Enterprise (PE) Users 1.0, 1.1, 1.2.x, 2.0.x, and 2.5.x before 2.5.1 allows remote authenticated users with agent SSL keys and file-creation permissions on the puppet master to execute arbitrary commands by creating a file whose full pathname contains shell metacharacters, then performing a filebucket request. |
|---|---|
| 公表日 | 2012年5月30日5:55 |
| 登録日 | 2021年1月28日14:57 |
| 最終更新日 | 2024年11月21日10:38 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:puppet:puppet:*:*:*:*:*:*:*:* | 2.7.0 | 2.7.13 | |||
| cpe:2.3:a:puppet:puppet:*:*:*:*:*:*:*:* | 2.6.0 | 2.6.15 | |||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:puppet:puppet_enterprise:1.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:puppet:puppet_enterprise:1.1:*:*:*:*:*:*:* | |||||
| cpe:2.3:a:puppet:puppet_enterprise:*:*:*:*:*:*:*:* | 1.2.0 | 2.5.1 | |||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:fedoraproject:fedora:17:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:fedoraproject:fedora:16:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:fedoraproject:fedora:15:*:*:*:*:*:*:* | |||||
| 構成4 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:debian:debian_linux:7.0:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:debian:debian_linux:6.0:*:*:*:*:*:*:* | |||||
| 構成5 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:canonical:ubuntu_linux:11.04:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:11.10:*:*:*:*:*:*:* | |||||
| cpe:2.3:o:canonical:ubuntu_linux:10.04:*:*:*:*:*:*:* | |||||