首頁 > 安全研究 > 安全通報 > 安全通告

Puppet Enterprise默認密碼漏洞安全通告

發布時間 2019-08-05

? 漏洞編號和級別


CVE編號:CVE-2019-10694,危險級別:嚴重,CVSS分值:廠商自評:9.4,官方未評定


影響版本


受影響的版本


適用于Puppet Enterprise 2019.0.3之前版本。


漏洞概述


Puppet是開源的基于Ruby的系統配置管理工具,基于C/S的部署架構。是一個為實現數據中心自動化管理而設計的配置管理軟件,它使用跨平臺語言規范,管理配置文件、用戶、軟件包、系統服務等??蛻舳四J每隔半小時會和服務器通信一次,確認是否有更新。當然也可以配置主動觸發來強制客戶端更新。這樣就把日常的系統管理任務代碼化了,代碼化的好處是可以分享,保存,避免重復勞動,也可以快速恢復以及快速的大規模部署服務器。Puppet Enterprise是Puppet的企業版。


Puppet Enterprise 2019.0.3之前版本中存在默認密碼漏洞,攻擊者可利用該漏洞繞過限制,提升權限。


據統計,中國暴露在公網上的Puppet達3000多個,具體分布情況如下:

 




漏洞驗證


暫無POC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,補丁獲取鏈接:https://puppet.com/security/cve/CVE-2019-10694


參考鏈接


https://puppet.com/security/cve/CVE-2019-10694 

上一篇 下一篇