LOWCVE-2012-3408CVSS 2.5

Puppet, IP पतों के उपयोग को चेतावनी के बिना सर्टनेम में समर्थन करता है, जिससे संभावित जोखिम हो सकते हैं

प्लेटफ़ॉर्म

ruby

घटक

puppet

में ठीक किया गया

2.7.18

AI Confidence: highNVDEPSS 0.3%समीक्षित: मई 2026

NVD पर देखें

सहेजें

CVE-2012-3408 Puppet में एक प्रमाणीकरण भेद्यता है जो हमलावरों को एजेंट को धोखा देने की अनुमति दे सकती है। यह भेद्यता Puppet के lib/puppet/network/authstore.rb फ़ाइल में मौजूद है, जो IP पतों को चेतावनी के बिना certnames में उपयोग करने की अनुमति देती है। प्रभावित संस्करण 2.7.9 से कम या उसके बराबर हैं। Puppet 2.7.18 में इस समस्या का समाधान किया गया है।

प्रभाव और हमले की स्थितियाँ

यह भेद्यता हमलावरों को Puppet एजेंट को धोखा देने की अनुमति देती है। हमलावर एक ऐसे IP पते का उपयोग कर सकते हैं जिसका पहले किसी अन्य एजेंट द्वारा उपयोग किया गया था, जिससे वे Puppet मास्टर को गलत जानकारी भेज सकते हैं और संभावित रूप से सिस्टम को नियंत्रित कर सकते हैं। यह विशेष रूप से उन वातावरणों में चिंताजनक है जहां IP पते गतिशील रूप से आवंटित किए जाते हैं या जहां एजेंटों को बार-बार पुनरारंभ किया जाता है। इस भेद्यता का शोषण करने से अनधिकृत सिस्टम कॉन्फ़िगरेशन परिवर्तन या डेटा उल्लंघन हो सकता है।

शोषण संदर्भ

CVE-2012-3408 को KEV (CISA Known Exploited Vulnerabilities) में शामिल नहीं किया गया है। EPSS (Exploit Prediction Score System) स्कोर उपलब्ध नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण शोषण की संभावना कम है। यह भेद्यता 2017-10-24 को प्रकाशित हुई थी।

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात

CISA KEVNO

EPSS

0.26% (49% शतमक)

प्रभावित सॉफ्टवेयर

घटकpuppet

विक्रेताosv

प्रभावित श्रेणीमें ठीक किया गया

—2.7.18

समयरेखा

प्रकाशित2017-10-24
संशोधित2024-11-29
EPSS अद्यतन2026-04-02

प्रकाशन के -1931 दिन बाद पैच

शमन और वर्कअराउंड

CVE-2012-3408 को कम करने का प्राथमिक तरीका Puppet को संस्करण 2.7.18 या बाद के संस्करण में अपडेट करना है। यदि तत्काल अपग्रेड संभव नहीं है, तो Puppet कॉन्फ़िगरेशन को संशोधित करके certnames में IP पतों के उपयोग को सीमित करने पर विचार करें। WAF (वेब एप्लीकेशन फ़ायरवॉल) का उपयोग करके असामान्य प्रमाणीकरण अनुरोधों की निगरानी करें। Puppet एजेंटों को कॉन्फ़िगर करें ताकि वे केवल विश्वसनीय स्रोतों से प्रमाणपत्र स्वीकार करें। Puppet मास्टर लॉग की नियमित रूप से समीक्षा करें ताकि किसी भी संदिग्ध गतिविधि का पता लगाया जा सके।

कैसे ठीक करेंअनुवाद हो रहा है…

कोई आधिकारिक पैच उपलब्ध नहीं है। वैकल्पिक समाधान खोजें या अपडेट की निगरानी करें।

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2012-3408 — प्रमाणीकरण भेद्यता Puppet में क्या है?

CVE-2012-3408 Puppet संस्करणों में एक भेद्यता है जो हमलावरों को एजेंट को धोखा देने की अनुमति दे सकती है। यह IP पतों को चेतावनी के बिना certnames में उपयोग करने की अनुमति देता है।

क्या मैं CVE-2012-3408 में Puppet से प्रभावित हूँ?

यदि आप Puppet संस्करण 2.7.9 से कम या उसके बराबर का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।

मैं Puppet में CVE-2012-3408 को कैसे ठीक करूँ?

CVE-2012-3408 को ठीक करने के लिए Puppet को संस्करण 2.7.18 या बाद के संस्करण में अपडेट करें।

क्या CVE-2012-3408 सक्रिय रूप से शोषण किया जा रहा है?

सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) ज्ञात नहीं हैं, लेकिन भेद्यता की प्रकृति के कारण शोषण की संभावना कम है।

मैं CVE-2012-3408 के लिए आधिकारिक Puppet सलाहकार कहां पा सकता हूं?

आप Puppet सुरक्षा सलाहकार यहां पा सकते हैं: [https://puppet.com/security/advisories/cve-2012-3408](https://puppet.com/security/advisories/cve-2012-3408)