В предыдущих версиях Puppet Agent агент мог получать факты из среды, из которой ему не было разрешено получать данные. Это было устранено в…
В предыдущих версиях Puppet Agent агент мог получать факты из среды, из которой ему не было разрешено получать данные. Это было устранено в Puppet Agent 5.3.4, включенном в Puppet Enterprise 2017.3.4.
Продукт ведёт себя по-разному или возвращает различные ответы в разных обстоятельствах таким образом, что это наблюдаемо неавторизованным субъектом и раскрывает информацию о состоянии продукта, имеющую значение для безопасности, например о том, была ли выполнена та или иная операция успешно.
https://cwe.mitre.org/data/definitions/203.html →Открыть в коллекции CWE →Продукт не назначает, не изменяет, не отслеживает или не проверяет должным образом привилегии субъекта, формируя для него непредусмотренную сферу управления.
https://cwe.mitre.org/data/definitions/269.html →Открыть в коллекции CWE →Злоумышленник обнаруживает метод управления правами в стиле REST HTTP (Get, Put, Delete), позволяющий ему выполнять различные вредоносные действия с данными на сервере вследствие отсутствия механизмов контроля доступа в сервисе приложения, принимающем HTTP-сообщения.
https://capec.mitre.org/data/definitions/58.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует возможности цели, которые должны быть зарезервированы для привилегированных пользователей или администраторов, но доступны непривилегированным или менее привилегированным учётным записям. Доступ к конфиденциальным данным и функциональности должен быть разграничен таким образом, чтобы только авторизованные пользователи могли обращаться к этим ресурсам.
https://capec.mitre.org/data/definitions/122.html →Открыть в коллекции CAPEC →Злоумышленник обнаруживает структуру, функции и состав программного обеспечения с использованием методов анализа по принципу «чёрного ящика». Методы «чёрного ящика» предполагают взаимодействие с программным обеспечением косвенно, без прямого доступа к исполняемому объекту. Такой анализ обычно предполагает взаимодействие с программным обеспечением на границах его взаимодействия с более широкой средой выполнения, например через входно-выходные векторы, библиотеки или API. Обратная разработка по принципу «чёрного ящика» также включает сбор физических побочных эффектов аппаратного устройства, таких как электромагнитное излучение или звук.
https://capec.mitre.org/data/definitions/189.html →Открыть в коллекции CAPEC →Злоумышленник эксплуатирует слабость, позволяющую ему повышать свои привилегии и выполнять действия, к которым он не должен иметь авторизации.
https://capec.mitre.org/data/definitions/233.html →Открыть в коллекции CAPEC →| Продукт | Вендор | Статус |
|---|---|---|
| SOAPpy | Отслеживается | |
| SOAPpy | Отслеживается | |
| ansiblerole-insights-client | Отслеживается | |
| ansiblerole-insights-client | Отслеживается | |
| candlepin | Отслеживается | |
| candlepin | Отслеживается | |
| createrepo_c | Отслеживается | |
| createrepo_c | Отслеживается | |
| foreman | Отслеживается | |
| foreman | Отслеживается | |
| foreman-bootloaders-redhat | Отслеживается | |
| foreman-bootloaders-redhat | Отслеживается | |
| foreman-installer | Отслеживается | |
| foreman-installer | Отслеживается | |
| foreman-proxy | Отслеживается | |
| foreman-proxy | Отслеживается | |
| foreman-selinux | Отслеживается | |
| foreman-selinux | Отслеживается | |
| gofer | Отслеживается | |
| gofer | Отслеживается |