Podatność CVE-2014-3251
Publikacja: 2014-08-12   Modyfikacja: 2014-08-13

Opis:
The MCollective aes_security plugin, as used in Puppet Enterprise before 3.3.0 and Mcollective before 2.5.3, does not properly validate new server certificates based on the CA certificate, which allows local users to establish unauthorized Mcollective connections via unspecified vectors related to a race condition.

Typ:

CWE-362

CVSS2 => (AV:L/AC:M/Au:N/C:P/I:P/A:P)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
4.4/10
6.4/10
3.4/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Lokalny
Średnia
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Częściowy
Częściowy
Affected software
Puppetlabs -> Mcollective 
Puppetlabs -> Puppet 
Puppet -> Puppet enterprise 

 Referencje:
http://puppetlabs.com/security/cve/cve-2014-3251
http://www.osvdb.org/109257
Copyright 2024, cxsecurity.com

 

Back to Top