欢迎user
发布日期:2017-11-08
危险等级:☆☆☆☆☆
1 漏洞描述
Puppet Enterprise和Puppet Agent都是美国Puppet实验室的产品。Puppet是美国Puppet实验室的一套基于客户端/服务器(C/S)架构的配置管理工具,Puppet Enterprise是一个企业版;Puppet Agent是一套客户端工具。
Puppet Enterprise 2015.3.3版本、2016.4.0之前的2016.x版本和Puppet Agent 1.3.6版本至1.7.0版本中存在安全漏洞。远程攻击者可利用该漏洞绕过主机白名单保护机制,在Puppet节点上执行任意代码。
2 漏洞标识符
CVE ID: CVE-2016-5714
3 影响系统
受影响系统:
Puppet Labs Puppet Enterprise 2015.3.3
Puppet Labs Puppet Enterprise 2016.0.0与2016.4.0之间版本
Puppet Labs Puppet Agent 1.3.6与1.7.0之间版本
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://puppet.com/security/cve/pxp-agent-oct-2016
5 漏洞类型
应用程序