Sicherheitsupdates für Puppet
Das Konfigurationsmanagement-Tool konnte von Angreifern dazu gebracht werden, beliebige Dateien zu überschreiben.
- Ronald Eikenberg
Puppet Labs hat in seinen Konfigurationsmanagement-Tools Puppet und Puppet Enterprise mehrere Schwachstellen geschlossen. In beiden Programmen klaffte eine Lücke, durch die ein Angreifer den Puppet Agent dazu bringen kann, beliebige Dateien zu überschreiben. Abhilfe schaffen die Updates auf Puppet 3.4.1 respektive Puppet Enterprise 2.8.4. Letzteres behebt darüber hinaus zahlreiche weitere Schwachstellen. Die Entwickler stufen das von den Schwachstellen ausgehende Risiko maximal als "mittel" ein. (rei)