L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base et des outils pour y remédier.

Vulnérabilités informatiques de Puppet

bulletin de vulnérabilité CVE-2018-11749

Puppet Enterprise : élévation de privilèges via RBAC Plaintext Password

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via RBAC Plaintext Password de Puppet Enterprise, afin d'élever ses privilèges.
Produits concernés : Puppet.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : LAN.
Date création : 24/08/2018.
Références : CVE-2018-11749, VIGILANCE-VUL-27073.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via RBAC Plaintext Password de Puppet Enterprise, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité CVE-2018-1000544

rubyzip : traversée de répertoire via Zip-File

Synthèse de la vulnérabilité

Un attaquant peut traverser les répertoires via Zip::File de rubyzip, afin de créer un fichier situé hors de la racine du service.
Produits concernés : Debian, Puppet.
Gravité : 2/4.
Conséquences : création/modification de données.
Provenance : client internet.
Date création : 16/08/2018.
Références : CVE-2018-1000544, DLA-1467-1, VIGILANCE-VUL-27010.

Description de la vulnérabilité

Un attaquant peut traverser les répertoires via Zip::File de rubyzip, afin de créer un fichier situé hors de la racine du service.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-11746

Puppet Discovery : obtention d'information via HTTP Basic Auth

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via HTTP Basic Auth de Puppet Discovery, afin d'obtenir des informations sensibles.
Produits concernés : Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : LAN.
Date création : 03/07/2018.
Références : CVE-2018-11746, VIGILANCE-VUL-26606.

Description de la vulnérabilité

Le produit Puppet Discovery dispose d'un service web.

Cependant, un attaquant peut lire les mot de passe dans la Basic Auth si la session n'utilise pas HTTPS.

Un attaquant peut donc utiliser une vulnérabilité via HTTP Basic Auth de Puppet Discovery, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité informatique CVE-2018-1000201

Puppet : exécution de code de DLL

Synthèse de la vulnérabilité

Un attaquant peut créer une DLL malveillante, puis la placer dans le répertoire de travail de Puppet, afin d'exécuter du code.
Produits concernés : Puppet.
Gravité : 2/4.
Conséquences : accès/droits utilisateur.
Provenance : serveur intranet.
Date création : 27/06/2018.
Références : CVE-2018-1000201, VIGILANCE-VUL-26558.

Description de la vulnérabilité

Un attaquant peut créer une DLL malveillante, puis la placer dans le répertoire de travail de Puppet, afin d'exécuter du code.
Bulletin Vigil@nce complet... (Essai gratuit)

alerte de vulnérabilité informatique CVE-2018-12536

Eclipse Jetty : obtention d'information via InvalidPathException Message

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via InvalidPathException Message de Eclipse Jetty, afin d'obtenir des informations sensibles.
Produits concernés : Jetty, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 26/06/2018.
Références : CVE-2018-12536, NTAP-20181014-0001, VIGILANCE-VUL-26536.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via InvalidPathException Message de Eclipse Jetty, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

vulnérabilité informatique CVE-2017-7658

Eclipse Jetty : obtention d'information via Double Content-Length

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Double Content-Length de Eclipse Jetty, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Jetty, Fedora, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 26/06/2018.
Références : CVE-2017-7658, DSA-4278-1, FEDORA-2018-48b73ed393, FEDORA-2018-93a507fd0f, NTAP-20181014-0001, VIGILANCE-VUL-26535.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Double Content-Length de Eclipse Jetty, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

avis de vulnérabilité CVE-2017-7657

Eclipse Jetty : obtention d'information via Transfer-Encoding Request Smuggling

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Transfer-Encoding Request Smuggling de Eclipse Jetty, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Jetty, Fedora, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 26/06/2018.
Références : CVE-2017-7657, DSA-4278-1, FEDORA-2018-48b73ed393, FEDORA-2018-93a507fd0f, NTAP-20181014-0001, VIGILANCE-VUL-26534.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions d'accès aux données via Transfer-Encoding Request Smuggling de Eclipse Jetty, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2017-7656

Eclipse Jetty : obtention d'information via HTTP/0.9 Request Smuggling

Synthèse de la vulnérabilité

Un attaquant peut utiliser une vulnérabilité via HTTP/0.9 Request Smuggling de Eclipse Jetty, afin d'obtenir des informations sensibles.
Produits concernés : Debian, Jetty, Fedora, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : lecture de données.
Provenance : client internet.
Date création : 26/06/2018.
Références : CVE-2017-7656, DSA-4278-1, FEDORA-2018-48b73ed393, FEDORA-2018-93a507fd0f, NTAP-20181014-0001, VIGILANCE-VUL-26533.

Description de la vulnérabilité

Le produit Eclipse Jetty dispose d'un service web.

Cependant, un attaquant peut contourner les restrictions d'accès aux données.

Un attaquant peut donc utiliser une vulnérabilité via HTTP/0.9 Request Smuggling de Eclipse Jetty, afin d'obtenir des informations sensibles.
Bulletin Vigil@nce complet... (Essai gratuit)

annonce de vulnérabilité CVE-2018-12538

Eclipse Jetty : élévation de privilèges via FileSessionDataStore

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via FileSessionDataStore de Eclipse Jetty, afin d'élever ses privilèges.
Produits concernés : Jetty, SnapManager, Puppet.
Gravité : 2/4.
Conséquences : accès/droits privilégié, accès/droits utilisateur.
Provenance : document.
Date création : 25/06/2018.
Références : 536018, CVE-2018-12538, NTAP-20181014-0001, VIGILANCE-VUL-26512.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via FileSessionDataStore de Eclipse Jetty, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)

bulletin de vulnérabilité CVE-2018-6516

Puppet : élévation de privilèges via PE Client Tools

Synthèse de la vulnérabilité

Un attaquant peut contourner les restrictions via PE Client Tools de Puppet, afin d'élever ses privilèges.
Produits concernés : Puppet.
Gravité : 2/4.
Conséquences : accès/droits administrateur, accès/droits privilégié.
Provenance : shell utilisateur.
Date création : 08/06/2018.
Références : CVE-2018-6516, VIGILANCE-VUL-26363.

Description de la vulnérabilité

Un attaquant peut contourner les restrictions via PE Client Tools de Puppet, afin d'élever ses privilèges.
Bulletin Vigil@nce complet... (Essai gratuit)
Notre base de données contient d'autres bulletins. Vous pouvez utiliser un essai gratuit pour les consulter.

Consulter les informations sur Puppet :