Bulletin d'alerte Debian

DLA-1576-1 ansible -- Mise à jour de sécurité pour LTS

Date du rapport :
12 novembre 2018
Paquets concernés :
ansible
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2018-16837.
Plus de précisions :

Il existait une vulnérabilité de divulgation potentielle de phrase secrète SSH dans le système de gestion de configuration d’ansible.

Le module User divulguait des données passées comme paramètre à l’utilitaire ssh-keygen(1), révélant des identifiants en texte clair dans la liste globale de processus.

Pour Debian 8 Jessie, ce problème a été corrigé dans la version 1.7.2+dfsg-2+deb8u1 d’ansible.

Nous vous recommandons de mettre à jour vos paquets ansible.