Vulnerabilidad en Puppet (CVE-2012-3408)
Gravedad CVSS v2.0:
BAJA
Tipo:
CWE-287
Autenticación incorrecta
Fecha de publicación:
06/08/2012
Última modificación:
11/04/2025
Descripción
lib/puppet/network/authstore.rb en Puppet anterior a v2.7.18, y Puppet Enterprise anterior a v2.5.2, compatible con el uso de direcciones IP en certnames sin previo aviso de los riesgos potenciales, podrían permitir a atacantes remotos falsificar un agente mediante la adquisición de una dirección IP previamente utilizada.
Impacto
Puntuación base 2.0
2.60
Gravedad 2.0
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:puppet:puppet_enterprise:*:*:*:*:*:*:*:* | 2.5.2 (excluyendo) | |
| cpe:2.3:a:puppetlabs:puppet:*:*:*:*:*:*:*:* | 2.7.18 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://puppetlabs.com/security/cve/cve-2012-3408/
- https://bugzilla.redhat.com/show_bug.cgi?id=839166
- https://github.com/puppetlabs/puppet/commit/ab9150baa1b738467a33b01df1d90e076253fbbd
- http://puppetlabs.com/security/cve/cve-2012-3408/
- https://bugzilla.redhat.com/show_bug.cgi?id=839166
- https://github.com/puppetlabs/puppet/commit/ab9150baa1b738467a33b01df1d90e076253fbbd