今年第二個關於 Puppet 的 CVE-2017-2295,是基於 YAML 所衍生的 Remote Code Execution,風險等級被定義為 High,由於也影響到 Puppet master,所以嚴重程度關乎所有 node。
影響的範圍:
- Puppet prior to 4.10.1
- Puppet Agent prior to 1.10.1
- Puppet Enterprise prior to 2016.4.5
- Puppet Enterprise 2016.5.x
- Puppet Enterprise 2017.1.x
fix 的版本:
- Puppet 4.10.1
- Puppet Agent 1.10.1
- Puppet Enterprise 2016.4.5
- Puppet Enterprise 2017.2.1
不過其實不太擔心 XD .. 畢竟 Puppet 是自動化工具麻,要更新也是很自動化阿 !! 如果你 Puppet 設計上有定期 apt 更新的話,基本上根本就可以不用理他。
當資安課通報的時候,我上去看根本就已經更新到 4.10.1 了呀 (4.10.0 -> 4.10.1)
