漏洞信息详情
Puppet Enterprise Console 安全漏洞
- CNNVD编号:CNNVD-201610-721 <!--
- 危害等级: 中危-->
- 危害等级: 中危
- CVE编号: CVE-2016-5715
- 漏洞类型: 资料不足
- 发布时间: 2016-10-25
- 威胁类型: 远程
- 更新时间: 2017-01-13
- 厂 商: puppet
- 漏洞来源: John Page aka hyp3...
-
漏洞简介
Puppet是美国Puppet实验室的一套基于客户端/服务器(C/S)架构的配置管理工具,它可用于管理配置文件、用户、cron任务、软件包、系统服务等。Puppet Enterprise是一个企业版。console是其中的一个控制台工具。
Puppet Enterprise 2016.4.0之前的2015.x版本和2016.x版本中的Console存在开放重定向漏洞。远程攻击者可利用该漏洞将用户重定向到任意的Web站点,并实施钓鱼攻击。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://puppet.com/security/cve/cve-2016-5715
参考网址
来源:hyp3rlinx.altervista.org
链接:http://hyp3rlinx.altervista.org/advisories/PUPPET-AUTHENTICATION-REDIRECT.txt
来源:puppet.com
链接:https://puppet.com/security/cve/cve-2016-5715
来源:BID
链接:http://www.securityfocus.com/bid/93846
来源:packetstormsecurity.com
链接:http://packetstormsecurity.com/files/139302/Puppet-Enterprise-Web-Interface-Open-Redirect.html
来源:BUGTRAQ
链接:http://www.securityfocus.com/archive/1/archive/1/539618/100/0/threaded
受影响实体
- Puppet Puppet:2015.2.2:~~Enterprise~~~<!--2000-1-1-->
- Puppet Puppet:2015.2.1:~~Enterprise~~~<!--2000-1-1-->
- Puppet Puppet:2015.2.0:~~Enterprise~~~<!--2000-1-1-->
- Puppet Puppet:2016.4.0:~~Enterprise~~~<!--2000-1-1-->
- Puppet Puppet:2016.1.2:~~Enterprise~~~<!--2000-1-1-->
补丁
- Puppet Enterprise 开放重定向漏洞的修复措施<!--2016-10-25-->
还没有评论,来说两句吧...