多款Puppet产品非信任搜索路径漏洞 CVE-2014-3248 CNNVD-201406-645

6.2 AV AC AU C I A
发布: 2014-11-16
修订: 2019-07-16

Puppet等都是美国Puppet实验室开发的产品。Puppet是一套基于客户端/服务器(C/S)架构的配置管理工具;Puppet Enterprise是一个企业版;Facter是一个用于获取客户端系统信息(如主机名、IP地址和操作系统版本等)的包。 多款Puppet产品中存在非信任搜索路径漏洞。当程序运行在Ruby 1.9.1及之前版本上时,本地攻击者可借助当前工作目录中的Trojan horse文件利用该漏洞获取权限。以下产品和版本受到影响:Puppet Enterprise 2.8.7之前2.8版本,Puppet 2.7.26之前版本和3.6.2之前3.x版本,Facter 1.6.x版本和2.0.2之前2.x版本,Hiera 1.3.4之前版本和Mcollective 2.5.2之前版本。

0%
暂无可用Exp或PoC
当前有15条受影响产品信息