Bulletin d'alerte Debian

DLA-2535-1 ansible -- Mise à jour de sécurité pour LTS

Date du rapport :
27 janvier 2021
Paquets concernés :
ansible
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 862666, Bogue 930065, Bogue 942188.
Dans le dictionnaire CVE du Mitre : CVE-2017-7481, CVE-2019-10156, CVE-2019-14846, CVE-2019-14904.
Plus de précisions :

Plusieurs vulnérabilités de sécurité ont été découvertes dans ansible, un système de gestion de configuration, de déploiement et d’exécution de tâche.

  • CVE-2017-7481

    Ansible échoue à marquer correctement les résultats du greffon de recherche comme non sûrs. Si un attaquant peut contrôler le résultat d’appels lookup(), il pourrait injecter des chaînes Unicode pour une analyse par le système de patrons jinja2, aboutissant à une exécution de code. Par défaut, le langage de patrons jinja2 est désormais noté comme non sûr et n’est pas évalué.

  • CVE-2019-10156

    Un défaut a été découvert dans la façon dont les patrons sont implémentés dans Ansible, entrainant une possibilité de divulgation d'informations à travers une substitution inattendue de variable. En tirant parti de cette substitution inattendue, le contenu de n’importe quelle variable peut être divulgué.

  • CVE-2019-14846

    Ansible journalisait au niveau DEBUG. Cela conduisait à une divulgation des accréditations si un greffon utilisait une bibliothèque qui journalisait les accréditations au niveau DEBUG. Ce défaut n’affecte pas les modules d’Ansible car ils sont exécutés dans un processus séparé.

  • CVE-2019-14904

    Un défaut a été découvert dans le module solaris_zone de la Communauté d’Ansible. Lors de la définition du nom pour la zone sur l’hôte Solaris, ce nom est vérifié en listant le processus avec la simple commande ps sur la machine distante. Un attaquant pourrait exploiter ce défaut en contrefaisant le nom de la zone et en exécutant des commandes arbitraires sur l’hôte distant.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 2.2.1.0-2+deb9u2.

Nous vous recommandons de mettre à jour vos paquets ansible.

Pour disposer d'un état détaillé sur la sécurité de ansible, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ansible.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.