Puppet 不適切な入力検証の脆弱性

この脆弱性を悪用されると、攻撃者はPuppetサーバー上で任意のコードを実行できます。これにより、機密情報の窃取、システムの改ざん、さらにはネットワーク全体への攻撃の踏み台として利用される可能性があります。攻撃者は、悪意のあるYAMLペイロードをREST APIに送信することで、任意のRubyクラスをインスタンス化し、そのクラスに関連付けられたコードを実行できます。この脆弱性は、Puppetサーバーの管理権限を完全に奪われる可能性があり、組織全体に深刻な影響を及ぼす可能性があります。Log4Shellと同様に、この脆弱性もリモートからコードを実行できるため、非常に危険です。

Organizations heavily reliant on Puppet for configuration management are at significant risk. This includes environments with complex infrastructure, sensitive data, and a large number of managed nodes. Legacy Puppet deployments, particularly those running older versions due to compatibility constraints, are especially vulnerable. Shared hosting environments where multiple users share a Puppet master instance are also at increased risk.

• ruby / server:

ps aux | grep puppet

Check the Puppet version running using puppet --version. If it's below 2.7.22, the system is vulnerable. • ruby / supply-chain: Review Puppet modules and code for any custom deserialization routines that might be vulnerable to similar attacks. • generic web: Monitor Puppet master server logs for unusual REST API requests or errors related to YAML parsing.

1. 2013-07-15Discovery

   discovery

2. 2017-10-24Disclosure

   disclosure

3. 2017-10-24Patch

   patch

1. 公開日2017-10-24
2. 更新日2024-11-29
3. EPSS 更新日2026-04-02

この脆弱性への対応策として、まずPuppetをバージョン2.7.22以降、または3.2.2以降にアップグレードすることを推奨します。アップグレードが困難な場合は、REST APIへのアクセスを制限するファイアウォールルールを実装するか、Puppet Enterpriseのアクセス制御機能を活用して、信頼できないソースからのYAMLデータのデシリアライズを無効にすることを検討してください。また、Puppetサーバーのログを監視し、異常なREST API呼び出しを検出するためのカスタムルールを作成することも有効です。アップグレード後、Puppetサーバーのバージョンを確認し、脆弱性が修正されていることを確認してください。