Puppet 4.10.0 的 CVE-2017-2295 (Remote Code Execution)

2017-07-17 CVE, Puppet

今年第二個關於 Puppet 的 CVE-2017-2295,是基於 YAML 所衍生的  Remote Code Execution,風險等級被定義為 High,由於也影響到 Puppet master,所以嚴重程度關乎所有 node。

 

影響的範圍:

  • Puppet prior to 4.10.1
  • Puppet Agent prior to 1.10.1
  • Puppet Enterprise prior to 2016.4.5
  • Puppet Enterprise 2016.5.x
  • Puppet Enterprise 2017.1.x

 

fix 的版本:

  • Puppet 4.10.1
  • Puppet Agent 1.10.1
  • Puppet Enterprise 2016.4.5
  • Puppet Enterprise 2017.2.1

 

不過其實不太擔心 XD .. 畢竟 Puppet 是自動化工具麻,要更新也是很自動化阿 !! 如果你 Puppet 設計上有定期 apt 更新的話,基本上根本就可以不用理他。

 

當資安課通報的時候,我上去看根本就已經更新到 4.10.1 了呀 (4.10.0 -> 4.10.1)

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

彙整

分類

open all | close all

License

訂閱 Mr. 沙先生 的文章

輸入你的 email 用於訂閱