Säkerhetsbulletin från Debian
DSA-4396-1 ansible -- säkerhetsuppdatering
- Rapporterat den:
- 2019-02-19
- Berörda paket:
- ansible
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2018-10855, CVE-2018-10875, CVE-2018-16837, CVE-2018-16876, CVE-2019-3828.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i Ansible, ett konfigurationshanterings-, management-, utrullnings- och uppgiftsutförarsystem:
- CVE-2018-10855
/ CVE-2018-16876
Flaggan no_log task hedrades inte, vilket resulterar i informationsläckage.
- CVE-2018-10875
ansible.cfg lästes från aktuell arbetskatalog.
- CVE-2018-16837
Användarmodulen läckte parametrar som skickas till ssh-keygen till processens miljö.
- CVE-2019-3828
Fetch-modulen var sårbar för sökvägstraversering.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 2.2.1.0-2+deb9u1.
Vi rekommenderar att ni uppgraderar era ansible-paket.
För detaljerad säkerhetsstatus om ansible vänligen se dess säkerhetsspårare på https://security-tracker.debian.org/tracker/ansible
- CVE-2018-10855
/ CVE-2018-16876