Plateforme
ruby
Composant
puppet
Corrigé dans
2.7.21
La vulnérabilité CVE-2013-1655 est une faille d'exécution de code à distance (RCE) affectant les versions de Puppet 2.7.x antérieures à 2.7.21 et les versions 3.1.x antérieures à 3.1.1. Cette faille permet à un attaquant d'exécuter du code arbitraire sur le système cible en exploitant des vecteurs liés à la sérialisation des attributs, particulièrement lorsqu'il utilise Ruby 1.9.3 ou versions ultérieures. Une correction est disponible pour les versions 2.7.21 et supérieures.
L'impact de cette vulnérabilité est critique. Un attaquant peut exploiter cette faille pour exécuter du code malveillant sur les serveurs Puppet, compromettant potentiellement l'ensemble de l'infrastructure gérée par Puppet. Cela pourrait inclure le vol de données sensibles, la modification de la configuration du système, ou l'utilisation du serveur Puppet comme point de pivot pour attaquer d'autres systèmes au sein du réseau. La sérialisation des attributs, si mal gérée, peut permettre l'injection de code arbitraire, similaire à des vulnérabilités de désérialisation observées dans d'autres contextes. La compromission d'un serveur Puppet peut avoir un impact significatif sur la disponibilité et l'intégrité de l'ensemble de l'environnement géré.
Cette vulnérabilité a été publiquement divulguée en 2017. Bien qu'il n'y ait pas de preuves d'exploitation active à grande échelle, la nature critique de la vulnérabilité et la possibilité d'exécution de code à distance en font une cible potentielle pour les attaquants. Il n'est pas listé sur le KEV à ce jour. Des preuves de concept (PoC) peuvent être disponibles en ligne, ce qui augmente le risque d'exploitation.
Organizations heavily reliant on Puppet for configuration management are particularly at risk. Environments with legacy Puppet deployments running older, unsupported versions are also vulnerable. Shared hosting environments where Puppet agents are managed centrally pose a significant risk, as a compromise of the Puppet master could affect multiple systems.
• ruby: Monitor Ruby processes running Puppet for unusual network connections or code execution patterns.
Get-Process | Where-Object {$_.ProcessName -like '*puppet*'} | Select-Object Name, Id, CPU, WorkingSet• linux: Examine Puppet agent and master logs (/var/log/puppet/puppet.log) for errors related to attribute serialization or unexpected code execution.
journalctl -u puppet -f | grep -i "error" -i "serialization"• generic web: Check Puppet agent configuration files for insecure attribute serialization practices. Review Puppet code for usage of serialized_attribute or similar constructs.
• windows: Use Autoruns to check for unusual startup entries related to Puppet or Ruby that could indicate malicious code execution.
discovery
disclosure
patch
Statut de l'Exploit
EPSS
0.63% (percentile 70%)
La mitigation principale consiste à mettre à jour Puppet vers une version corrigée (2.7.21 ou supérieure). Si la mise à niveau n'est pas immédiatement possible, il est recommandé de désactiver temporairement la sérialisation des attributs, si cela est possible sans impacter les fonctionnalités essentielles. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue du trafic réseau vers les serveurs Puppet est conseillée. En cas de suspicion d'exploitation, examinez les journaux Puppet pour détecter des activités suspectes liées à la sérialisation des attributs. Après la mise à jour, vérifiez la configuration de Puppet pour vous assurer que la sérialisation des attributs est gérée de manière sécurisée.
Aucun correctif officiel disponible. Recherchez des alternatives ou surveillez les mises à jour.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2013-1655 is a remote code execution vulnerability affecting Puppet versions 2.7.x before 2.7.21 and 3.1.x before 3.1.1, allowing attackers to execute arbitrary code via insecure attribute serialization.
You are affected if you are running Puppet versions 2.7.x prior to 2.7.21 or 3.1.x prior to 3.1.1, especially when using Ruby 1.9.3 or later.
Upgrade Puppet to version 2.7.21 or later. As a temporary workaround, disable attribute serialization in your Puppet manifests.
While no widespread exploitation has been confirmed, the availability of public proof-of-concept exploits suggests a potential risk.
Refer to the Puppet security advisory for details: https://puppet.com/security/advisories/puppet-security-advisory-2013-0006
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier Gemfile.lock et nous te dirons instantanément si tu es affecté.