Bulletin d'alerte Debian

DLA-1923-1 ansible -- Mise à jour de sécurité pour LTS

Date du rapport :
16 septembre 2019
Paquets concernés :
ansible
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 930065.
Dans le dictionnaire CVE du Mitre : CVE-2015-3908, CVE-2015-6240, CVE-2018-10875, CVE-2019-10156.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Ansible, un système de gestion de configuration, de déploiement et d'exécution de tâches.

  • CVE-2015-3908

    Attaque potentielle de type « homme du milieu » associée avec une vérification insuffisante de certificat X.509. Ansible ne vérifiait pas que le nom d’hôte du serveur ne correspond pas à un nom de domaine dans le Common Name (CN) du sujet ou le champ subjectAltName du certificat X.509. Cela permet à des attaquants de type « homme du milieu » d’usurper les serveurs SSL à l'aide d'un certificat arbitraire valable.

  • CVE-2015-6240

    Attaque par lien symbolique permettant à des utilisateurs locaux de s’évader d’un environnement restreint (chroot ou jail) à l'aide d'une attaque par lien symbolique.

  • CVE-2018-10875

    Correctif pour l’exécution potentielle de code arbitraire aboutissant lire le fichier ansible.cfg à partir d’un répertoire courant de travail modifiable par tout le monde. Cette condition fait que désormais ansible émet un avertissement et ignore le fichier ansible.cfg dans le répertoire courant de travail modifiable par tout le monde.

  • CVE-2019-10156

    Divulgation d’informations à l’aide d’une substitution inattendue de variable.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.7.2+dfsg-2+deb8u2.

Nous vous recommandons de mettre à jour vos paquets ansible.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.