漏洞标题
dp-golang 安装的 go 可能被错误的用户拥有
漏洞描述信息
dp-golang 是一个 Puppet 模块,用于安装 Go 环境。在版本 1.2.7 之前,如果 Puppet 以 root 用户运行并且安装的包是 macOS 上的 Go 版本:从 1.4.3 到 1.21rc3(包含两者)以及 go1.4-bootstrap-20170518.tar.gz 和 go1.4-Bootstrap-20170531.tar.gz。Puppet 中指定的用户和组对于归档文件内的所有文件和目录都会被忽略dp-puppet 版本 1.2.7 将会重新安装,如果任何安装内文件或目录的所有者或群组与请求的所有者或群组不匹配
:
:
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
关键资源的不正确权限授予
漏洞标题
dp-golang Go installation could be owned by wrong user
漏洞描述信息
dp-golang is a Puppet module for Go installations. Prior to 1.2.7, dp-golang could install files — including the compiler binary — with the wrong ownership when Puppet was run as root and the installed package was On macOS: Go version 1.4.3 through 1.21rc3, inclusive, go1.4-bootstrap-20170518.tar.gz, or go1.4-bootstrap-20170531.tar.gz. The user and group specified in Puppet code were ignored for files within the archive. dp-puppet version 1.2.7 will recreate installations if the owner or group of any file or directory within that installation does not match the requested owner or group
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:H/A:H
漏洞类别
关键资源的不正确权限授予
漏洞标题
Puppet 安全漏洞
漏洞描述信息
Puppet是美国Puppet实验室的一套基于客户端/服务器(C/S)架构的配置管理工具,它可用于管理配置文件、用户、cron任务、软件包、系统服务等。 Puppet 1.2.7之前版本存在安全漏洞,该漏洞源于当Puppet以root用户身份运行时,dp-golang可以安装所有权错误的文件,包括编译器二进制文件。
CVSS信息
N/A
漏洞类别
其他