Aviso de seguridad de Debian
DSA-4396-1 ansible -- actualización de seguridad
- Fecha del informe:
- 19 de feb de 2019
- Paquetes afectados:
- ansible
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2018-10855, CVE-2018-10875, CVE-2018-16837, CVE-2018-16876, CVE-2019-3828.
- Información adicional:
-
Se han encontrado varias vulnerabilidades en Ansible, un sistema para configuración, gestión, despliegue y ejecución de tareas:
- CVE-2018-10855
/ CVE-2018-16876
El indicador de tarea no_log no se respetaba, dando lugar a que se filtrara información.
- CVE-2018-10875
Se leía ansible.cfg del directorio de trabajo actual.
- CVE-2018-16837
El módulo user filtraba al entorno del proceso parámetros pasados a ssh-keygen.
- CVE-2019-3828
El módulo fetch era susceptible de escalado de directorios.
Para la distribución «estable» (stretch), estos problemas se han corregido en la versión 2.2.1.0-2+deb9u1.
Le recomendamos que actualice los paquetes de ansible.
Para información detallada sobre el estado de seguridad de ansible, consulte su página en el sistema de seguimiento de problemas de seguridad: https://security-tracker.debian.org/tracker/ansible
- CVE-2018-10855
/ CVE-2018-16876