Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de Puppet
Enterprise.

Produits concernés : Puppet
Gravité : 2/4
Date création : 19/08/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans Puppet Enterprise.

L’opération de déconnexion n’efface pas la session. [grav:1/4 ;
BID-61857, CVE-2013-4762]

Un attaquant peut rediriger la victime. [grav:2/4 ; BID-61949,
CVE-2013-4955]

La session de l’utilisateur n’expire jamais. [grav:1/4 ; BID-61859,
CVE-2013-4958]

Un attaquant peut consulter le cache du navigateur, afin d’obtenir
des informations sensibles. [grav:1/4 ; BID-61862, CVE-2013-4959]

Un attaquant peut obtenir le numéro de version. [grav:1/4 ;
BID-61870, CVE-2013-4961]

Les opérations sensibles ne nécessitent pas une nouvelle
authentification. [grav:2/4 ; BID-61861, CVE-2013-4962]

Un attaquant peut provoquer un Cross Site Request Forgery, afin de
forcer la victime à effectuer des opérations. [grav:2/4 ;
CVE-2013-4963]

Les cookies de session n’ont pas le drapeau secure. [grav:1/4 ;
BID-61856, CVE-2013-4964]

Un attaquant peut obtenir le mot de passe de la base de données.
[grav:2/4 ; BID-61941, CVE-2013-4967]

Un attaquant peut employer un Clickjacking. [grav:2/4 ; BID-61860,
CVE-2013-4968]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Puppet-Enterprise-multiples-vulnerabilites-13293