Puppet Enterprise默认密码漏洞安全通告
发布时间 2019-08-05• 漏洞编号和级别
• 影响版本
受影响的版本
适用于Puppet Enterprise 2019.0.3之前版本。
• 漏洞概述
Puppet是开源的基于Ruby的系统配置管理工具,基于C/S的部署架构。是一个为实现数据中心自动化管理而设计的配置管理软件,它使用跨平台语言规范,管理配置文件、用户、软件包、系统服务等。客户端默认每隔半小时会和服务器通信一次,确认是否有更新。当然也可以配置主动触发来强制客户端更新。这样就把日常的系统管理任务代码化了,代码化的好处是可以分享,保存,避免重复劳动,也可以快速恢复以及快速的大规模部署服务器。Puppet Enterprise是Puppet的企业版。
Puppet Enterprise 2019.0.3之前版本中存在默认密码漏洞,攻击者可利用该漏洞绕过限制,提升权限。
• 漏洞验证
暂无POC/EXP。
• 修复建议
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://puppet.com/security/cve/CVE-2019-10694
• 参考链接
京公网安备11010802024551号