Informations de sécurité / 2019 / Informations sur la sécurité -- DSA-4396-1 ansible

Bulletin d'alerte Debian

DSA-4396-1 ansible -- Mise à jour de sécurité

Date du rapport :

19 février 2019

Paquets concernés :

ansible

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2018-10855, CVE-2018-10875, CVE-2018-16837, CVE-2018-16876, CVE-2019-3828.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Ansible, un système de gestion de configuration, de déploiement et d'exécution de tâches :

• CVE-2018-10855 / CVE-2018-16876

  L'indicateur de tâche no_log n'était pas respecté avec pour conséquence une fuite d'informations.

• CVE-2018-10875

  ansible.cfg était lu à partir du répertoire de travail courant.

• CVE-2018-16837

  Le module utilisateur divulguait les paramètres passés à ssh-keygen vers l'environnement des processus.

• CVE-2019-3828

  Le module de récupération était vulnérable à une traversée de répertoires.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 2.2.1.0-2+deb9u1.

Nous vous recommandons de mettre à jour vos paquets ansible.

Pour disposer d'un état détaillé sur la sécurité de ansible, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/ansible.