Ce bulletin a été rédigé par Vigil@nce : http://vigilance.fr/offre

SYNTHÈSE DE LA VULNÉRABILITÉ

Un attaquant peut employer plusieurs vulnérabilités de Puppet
Enterprise 3.1.

Produits concernés : Puppet

Gravité : 2/4

Date création : 30/12/2013

DESCRIPTION DE LA VULNÉRABILITÉ

Plusieurs vulnérabilités ont été annoncées dans Puppet Enterprise
3.1.

Un attaquant peut provoquer un buffer overflow dans la conversion
des nombres réels par Ruby, afin de mener un déni de service, et
éventuellement d’exécuter du code (VIGILANCE-VUL-13817
(https://vigilance.fr/arbre/1/13817?w=50517)). [grav:2/4 ;
BID-63873, CERTA-2013-AVI-647, CVE-2013-4164]

Un attaquant peut employer une expression régulière dans RubyGems,
afin de mener un déni de service. [grav:2/4 ; CVE-2013-4363]

Un attaquant peut provoquer un Cross Site Scripting dans Ruby on
Rails, afin d’exécuter du code JavaScript dans le contexte du site
web. [grav:2/4 ; CVE-2013-4491]

Un attaquant peut employer un lien symbolique, afin de corrompre
un fichier. [grav:2/4 ; BID-64552, CVE-2013-4969]

Un attaquant peut employer un type MIME invalide dans Action View,
afin de mener un déni de service. [grav:2/4 ; CVE-2013-6414]

Un attaquant peut provoquer un Cross Site Scripting dans Ruby on
Rails, afin d’exécuter du code JavaScript dans le contexte du site
web. [grav:2/4 ; CVE-2013-6415]

Un attaquant peut provoquer une injection SQL dans Rack and Rails,
afin de lire ou modifier des données. [grav:2/4 ; CVE-2013-6417]

ACCÈS AU BULLETIN VIGIL@NCE COMPLET

http://vigilance.fr/vulnerabilite/Puppet-Enterprise-3-1-multiples-vulnerabilites-13999