<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">Package: facter<br></div><div class="gmail_quote"><div dir="ltr"><div><div><font face="verdana, sans-serif">Version: 2.2.0-1</font></div><div><font face="verdana, sans-serif">Severity: critical</font></div><div><font face="verdana, sans-serif">Tags: security upstream</font></div><div><font face="verdana, sans-serif">Justification: root security hole</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">Dear Maintainer,</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">Due to <a href="https://tickets.puppetlabs.com/browse/FACT-800" target="_blank">https://tickets.puppetlabs.<wbr>com/browse/FACT-800</a>, Facter caches IAM role AKID/SAKID and Token under ec2_metadata fact. Facts are stored under /var/lib/puppet/yaml/facts/$<wbr>nodename.yaml however facts can be reported by report processors to less authorised systems potentially allowing abuse of authentication information against AWS API.</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">All current Jessie Puppet systems store this authentication information under the ec2_metadata fact on disk and reported via any custom or Puppet report processing.</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">Debian Release: 8.9</font></div><div><font face="verdana, sans-serif">  APT prefers oldstable-updates</font></div><div><font face="verdana, sans-serif">  APT policy: (500, 'oldstable-updates'), (500, 'oldstable')</font></div><div><font face="verdana, sans-serif">Architecture: amd64 (x86_64)</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">Kernel: Linux 3.16.0-4-amd64 (SMP w/1 CPU core)</font></div><div><font face="verdana, sans-serif">Locale: LANG=en_US.UTF-8, LC_CTYPE=en_US.UTF-8 (charmap=UTF-8)</font></div><div><font face="verdana, sans-serif">Shell: /bin/sh linked to /bin/dash</font></div><div><font face="verdana, sans-serif">Init: systemd (via /run/systemd/system)</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">Versions of packages facter depends on:</font></div><div><font face="verdana, sans-serif">ii  bind9-host [host]           1:9.9.5.dfsg-9+deb8u12</font></div><div><font face="verdana, sans-serif">ii  net-tools                   1.60-26+b1</font></div><div><font face="verdana, sans-serif">ii  ruby                        1:2.1.5+deb8u2</font></div><div><font face="verdana, sans-serif">ii  ruby-json                   1.8.1-1+b2</font></div><div><font face="verdana, sans-serif">ii  ruby2.1 [ruby-interpreter]  2.1.5-2+deb8u3</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">Versions of packages facter recommends:</font></div><div><font face="verdana, sans-serif">ii  dmidecode  2.12-3</font></div><div><font face="verdana, sans-serif">ii  pciutils   1:3.2.1-3</font></div><div><font face="verdana, sans-serif">ii  virt-what  1.14-1</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">facter suggests no packages.</font></div><div><font face="verdana, sans-serif"><br></font></div><div><font face="verdana, sans-serif">-- no debconf information</font></div></div>
</div>
</div><br></div>