Puppet Labs Puppet Enterprise 身份认证绕过漏洞

漏洞信息详情

Puppet Labs Puppet Enterprise 身份认证绕过漏洞

• CNNVD编号：CNNVD-201304-021
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-2716
  
• 漏洞类型：
  
  
  加密问题
  
• 发布时间：
  
  2013-04-03
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2019-07-11
  
• 厂        商：
  
  puppetlabs
• 漏洞来源：

Puppet Labs Puppet Enterprise 2.8.0之前的版本中存在漏洞，当旧系统升级为1.2.x或2.0.x版本时，该漏洞源于在CAS客户端配置文件（cas_client_config.yml）中程序没有使用‘randomized secret’。通过特制的cookie，远程攻击者利用该漏洞获得控制台访问权限。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://puppetlabs.com/security/cve/cve-2013-2716/

来源:SECUNIA

链接:http://secunia.com/advisories/52862

来源:XF

链接:https://exchange.xforce.ibmcloud.com/vulnerabilities/83171

来源:CONFIRM

链接:https://puppetlabs.com/security/cve/cve-2013-2716/