Seite wählen

NETWAYS Blog

Puppet Security – Upgrade empfohlen

von | Feb 24, 2012 | , ,

Vorausgeschickt für alle Ungeduldigen: einfach mal wieder upgraden. Mit 2.6.14 oder 2.7.11 schläft sich’s besser. PuppetLabs betreibt nämlich eine vorbildliche Responsible disclosure-Policy, Sicherheitslöcher werden also nach einer kurzen Schonfrist in der das Loch geschlossen werden muss, publik gemacht.
Mit der zunehmenden Verbreitung von Puppet machen sich auch immer mehr Leute Gedanken über dessen Sicherheit – was zwangsläufig zur Folge hat, dass auch mehr Probleme aufgedeckt werden. Neben der Frage, wie man Puppet-Master und -Agent generell vor Angriffen von „außen“ schützen kann, sollte man sich immer auch fragen, wie man sich „intern“ bestmöglich absichern kann. Ein böser Agent könnte z.B. versuchen, sich über einen Man-in-the-middle-Angriff als Puppet-Server auszugeben. Das geht zwar nicht mal eben einfach so, es gab aber bereits einen Bug in Puppet, der hierzu ausgenutzt werden konnte: CVE-2011-3872 – AltNames Vulnerability.
Eine weitere interessante Angriffsfläche sind von Puppet verwaltete File-Ressourcen, auf welche normale Benutzer Schreibzugriff haben. Entsprechende Sicherheitsprobleme z.B. in Bezug auf die erlauben SSH-Keys (CVE-2011-3870 – SSH Auth Key Local Privilege Escalation) oder Kerberos-Berechtigungen (CVE-2012-1054 – K5login Local User Privilege Escalation, CVE-2011-3869 – K5login Local Privilege Escalation).
Gefährlich kann auch das Aufrufen von Skripts oder Binaries sein, welche einem lokalen Benutzer gehören – er könnte damit root werden: CVE-2012-1053 – Local Group Privilege Escalation. Schwerwiegend war auch CVE-2011-3871 – Puppet Resource Local Privilege Escalation, damit konnte man als lokaler Benutzer unabhängig von den verwalteten Ressourcen einen vom Puppet-Agent verwalteten Rechner übernehmen.
Einige der Probleme hätten nicht passieren dürfen, aber wer macht schon keine Fehler. Andere hingegen sind kniffliger, zu Lernzwecken interessant anzusehen und auch (wie im Fall der TOCTOU-Probleme) nicht immer einfach zu lösen. PuppetLabs hat jedenfalls alle Bugs vorbildlich zeitnah beseitigt und mittlerweile ein paar Design-Probleme auch gleich an der Wurzel angepackt. Bravo, weiter so!

Thomas Gelf
Thomas Gelf
Principal Consultant
Der gebürtige Südtiroler Tom arbeitet als Principal Consultant für Systems Management bei NETWAYS und ist in der Regel immer auf Achse: Entweder vor Ort bei Kunden, als Trainer in unseren Schulungen oder privat beim Skifahren in seiner Heimatstadt Bozen. Neben Icinga und Nagios beschäftigt sich Tom vor allem mit Puppet.
Lies mehr von Thomas und triff unser Team

Puppet Camp Europe vom 28. – 29. April 2011 – 10 % Rabatt zur Teilnahme sichern!

von | Mrz 22, 2011 |

Vom 28. – 29. April 2011 können erfahrene Puppet-User, Anfänger und Entwickler netzwerken und von den Lesungen von bekannten Community Mitgliedern auf dem diesjährigen Puppet Camp in Amsterdam in den Niederlanden profitieren. Das Camp dient auch zum Erfahrungsaustausch und bietet u.a. die ideale Plattform um über zukünftige Neu-Einführungen von Puppet zu sprechen. Über das Camp können Sie sich unter http://www.puppetlabs.com/community/puppet-camp/ informieren.
NETWAYS ist 2011 offizieller Gold Sponsor des Puppet Camps. Schneiden Sie sich ein Stück vom Kuchen ab und ergattern einen 10%igen Rabatt für das Puppet Camp in Amsterdam bei der Anmeldung zur OSDC Konferenz am 06. April 2011 in Nürnberg! Die Konferenzpakete inkl. Übernachtung sind  schon ausgebucht – wir haben nur noch 5 letzte Konferenzplätze ohne Übernachtung frei um auch Ihnen die Teilnahme an der Netways Open Source Data Center Conference zu ermöglichen. Hier bieten wir dieses Jahr interessante Vorträge und Case Studies rund um das Thema automatisiertes System Management welches im Rahmen von drei großen Themenblöcken „Configuration Management“, „Cloud Computing“ und „Datacenter Infrastructure“ die ganze Bandbreite der Data Center Solutions abbildet. Also gleich anmelden (zum Anmeldeformular hier klicken) – Platz auf der OSDC sichern und obendrauf noch einen 10%igen Rabatt für die Teilnahme am Puppet Camp erhalten!

Einmalige Chance: erste PUPPET SCHULUNG in Deutschland – direkt vom Entwickler

von | Apr 8, 2010 |

Sie suchen nach einer qualifizierten und nachhaltigen Schulung zum Thema Puppet? Dann verpassen Sie jetzt nicht die einmalige Chance an einer Puppet Schulung vom 20. – 22. April direkt vom Puppet Erfinder Puppet Labs (USA) teilzunehmen! Zielgruppe des Trainings sind alle, die eine Puppet Starthilfe wollen. Geeignet ist das Training für diejenigen, die bereits Puppet verwenden oder erfahrene Systemadministratoren, die Puppet einsetzen wollen. In dieser Schulung erfahren Sie alles um Puppet erfolgreich anzuwenden!
Schulungsinhalte:

  • Puppet und Puppetmaster Konfiguration
  • Ressource-Typen und das Resource Abstraction Layer
  • Virtual Resources und gespeicherte Configs
  • Meta-Parameter, Abhängigkeiten und Events
  • Klassen, Module und Definitionen
  • Tags und Umgebungen
  • Puppet Sprachmustern und Best Practices
  • Die neueste Puppet Version wird erfasst

Die genannten Themen werden über 3 Tage umfangreich in Theorie und Praxis behandelt.
Ziele

  • Bootstrap einer Puppet-Infrastruktur
  • Modell-System-Konfigurationen und Beziehungen mit der Puppet Sprache
  • Puppet Muster und bewährte Methoden

Sichern Sie sich jetzt einen der letzten Plätze in der Schulung auf unserer Website!

Trainings

Web Services

Events