Podatność CVE-2011-3872


Publikacja: 2011-10-27   Modyfikacja: 2012-02-13

Opis:
Puppet 2.6.x before 2.6.12 and 2.7.x before 2.7.6, and Puppet Enterprise (PE) Users 1.0, 1.1, and 1.2 before 1.2.4, when signing an agent certificate, adds the Puppet master's certdnsnames values to the X.509 Subject Alternative Name field of the certificate, which allows remote attackers to spoof a Puppet master via a man-in-the-middle (MITM) attack against an agent that uses an alternate DNS name for the master, aka "AltNames Vulnerability."

Typ:

CWE-20

(Improper Input Validation)

CVSS2 => (AV:N/AC:H/Au:N/C:N/I:P/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
2.6/10
2.9/10
4.9/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Zdalny
Wysoka
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Brak
Częściowy
Brak
Affected software
Puppetlabs -> Puppet 
Puppetlabs -> Puppet enterprise users 
Puppet -> Puppet 
Puppet -> Puppet enterprise 

 Referencje:
http://groups.google.com/group/puppet-announce/browse_thread/thread/e7edc3a71348f3e1
http://puppetlabs.com/blog/important-security-announcement-altnames-vulnerability/
http://www.securityfocus.com/bid/50356
http://www.ubuntu.com/usn/USN-1238-1
http://www.ubuntu.com/usn/USN-1238-2
https://exchange.xforce.ibmcloud.com/vulnerabilities/70970
https://puppet.com/security/cve/cve-2011-3872

Copyright 2024, cxsecurity.com

 

Back to Top