Vigil@nce - Puppet Enterprise : multiples vulnérabilités
juillet 2014 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant peut employer plusieurs vulnérabilités de Puppet
Enterprise.
Produits concernés : Puppet
Gravité : 2/4
Date création : 16/07/2014
DESCRIPTION DE LA VULNÉRABILITÉ
Plusieurs vulnérabilités ont été annoncées dans Puppet Enterprise.
Un attaquant peut déréférencer un pointeur NULL dans les
applications OpenSSL utilisant SSL_MODE_RELEASE_BUFFERS, afin de
mener un déni de service (VIGILANCE-VUL-14690). [grav:2/4 ;
CVE-2014-0198]
Un attaquant peut se placer en man in the middle entre un serveur
et un client utilisant OpenSSL, afin de lire ou modifier les
données échangées (VIGILANCE-VUL-14844). [grav:2/4 ; CVE-2014-0224]
Lorsque Mcollective est configuré avec le plugin aes_security, un
attaquant peut utiliser un certificat illicite, afin d’établir une
connexion. [grav:2/4 ; CVE-2014-3251]
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
http://vigilance.fr/vulnerabilite/Puppet-Enterprise-multiples-vulnerabilites-15059