一、 漏洞 CVE-2011-3872 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
"Puppet 2.6.x 之前在 2.6.12 和 2.7.x 之前,以及 Puppet Enterprise (PE) Users 1.0、1.1 和 1.2 之前在 1.2.4 之前,在签署代理证书时,将 Puppet 主機的 certdnsnames 值添加到证书的 X.509 主機 alternative 名称字段中,这允许远程攻击者通过中间人(MITM)攻击攻击使用主機 alternate DNS name 的代理,也称为 "AltNames 漏洞"。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Puppet 2.6.x before 2.6.12 and 2.7.x before 2.7.6, and Puppet Enterprise (PE) Users 1.0, 1.1, and 1.2 before 1.2.4, when signing an agent certificate, adds the Puppet master's certdnsnames values to the X.509 Subject Alternative Name field of the certificate, which allows remote attackers to spoof a Puppet master via a man-in-the-middle (MITM) attack against an agent that uses an alternate DNS name for the master, aka "AltNames Vulnerability."
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Puppet ‘certdnsnames’ 安全绕过漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Puppet 0.24.0至2.7.5版本中存在安全绕过漏洞。由于应用程序未能正确验证服务器的SSL证书,攻击者可利用该漏洞执行中间人攻击或者冒充受信任的服务器,并引起进一步攻击。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
输入验证错误
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2011-3872 的公开POC
# POC 描述 源链接 神龙链接
1 Puppet Module to help fix and migrate a Puppet deployment (CVE-2011-3872) https://github.com/puppetlabs-toy-chest/puppetlabs-cve20113872 POC详情
三、漏洞 CVE-2011-3872 的情报信息