Bulletin d'alerte Debian

DLA-2202-1 ansible -- Mise à jour de sécurité pour LTS

Date du rapport :
5 mai 2020
Paquets concernés :
ansible
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 942188.
Dans le dictionnaire CVE du Mitre : CVE-2019-14846, CVE-2020-1733, CVE-2020-1739, CVE-2020-1740.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Ansible, un système de gestion de configuration, déploiement et exécution de tâches.

  • CVE-2019-14846

    Ansible journalisait au niveau DEBUG, ce qui conduisait à une divulgation d’accréditations si un greffon utilisait une bibliothèque qui journalisait les accréditations au niveau DEBUG. Ce défaut n’affecte pas les modules Ansible, comme ceux exécutés dans un processus distinct.

  • CVE-2020-1733

    Un défaut de situation de compétition a été découvert lors de l’utilisation d’un « playbook » avec un « become user » sans droits. Lorsqu’Ansible avait besoin d’exécuter un module avec « become user », le répertoire temporaire était créé dans /var/tmp. Ce répertoire était créé avec « umask 77 && mkdir -p dir ». Cette opération n’échouait pas si le répertoire existait déjà et appartenait à un autre utilisateur. Un attaquant pourrait exploiter cela pour contrôler le « become user » car le répertoire cible pouvait être retrouvé par itération sur « /proc/pid/cmdlinez ».

  • CVE-2020-1739

    Un défaut a été découvert lorsque le mot de passe est réglé avec l’argument password du module svn, utilisé sur la ligne de commande de svn, l’exposant aux autres utilisateurs appartenant au même nœud. Un attaquant pourrait exploiter cela en lisant le fichier de ligne de commande à partir de ce PID particulier du procfs.

  • CVE-2020-1740

    Un défaut a été découvert lors de l’utilisation d’Ansible Vault pour l’édition de fichiers chiffrés. Quand un utilisateur exécute « ansible-vault edit », un autre utilisateur sur le même ordinateur peut lire l’ancienne et la nouvelle phrase secrète car elle est créée dans un fichier temporaire avec mkstemp et le descripteur de fichier renvoyé est fermé et la méthode write_data est appelée pour écrire la phrase secrète dans le fichier. Cette méthode détruit le fichier avant de le recréer de manière insécurisée.

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 1.7.2+dfsg-2+deb8u3.

Nous vous recommandons de mettre à jour vos paquets ansible.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.