Уязвимость CVE-2016-9587 в Ansible позволяет взломанной системе запускать код на контроллере
Иллюстрация с сайта En.Wikipedia.Org
9 января были выпущены версии системы управления конфигурациями Ansible 2.1.4 RC1 и 2.2.1 RC3, в которых устранена уязвимость CVE-2016-9587, отнесённая к высокому уровню опасности.
Проблема CVE-2016-9587, зафиксированная в тот же день (9 января), заключается в некорректной валидации данных, поступающих в контроллер Ansible от клиентских систем. Злоумышленник, имеющий доступ к клиентской машине, обслуживаемой с помощью Ansible, имеет возможность выполнить произвольный код на сервере (контроллере) Ansible с правами пользователя/группы, под которыми запущен процесс. Предлагаемые RC-версии Ansible исправляют проблему, а разработчики просят своих пользователей проверить их как можно скорее для выпуска финального исправляющего релиза Ansible.
На Red Hat Customer Portal этой уязвимости в Ansible присвоена предпоследняя категория по значимости (Important) и подтверждено её наличие в пакетах Ansible, используемых в продуктах Red Hat OpenStack Platform 10 и 11, Red Hat OpenShift Enterprise 3, Red Hat Gluster Storage 3.1.
Постоянная ссылка к новости: http://www.nixp.ru/news/13910.html. Дмитрий Шурупов по материалам lwn.net, Red Hat Customer Portal.
Canonical пропатчила патчи: последняя порция обновлений вызывала регрессию ядра
Исследователи безопасности нашли 26 уязвимостей в USB-драйверах разных ОС — 18 из них на Linux
Canonical пропатчила ядра четырех Ubuntu — все обновления уже в репозиториях
Критическая уязвимость CVE-2017-14746 в Samba 4.x позволяет удалённо выполнять код
Лаборатория Касперского: Linux-ботнеты — причина 70 % DDoS-атак
Red Hat исправила 3 уязвимости в Ansible, одна из которых позволяет выполнять код на сервере
Последние комментарии
- OlegL, 17 декабря в 15:00 → Перекличка 21
- REDkiy, 8 июня 2023 года в 9:09 → Как «замокать» файл для юниттеста в Python? 2
- fhunter, 29 ноября 2022 года в 2:09 → Проблема с NO_PUBKEY: как получить GPG-ключ и добавить его в базу apt? 6
- Иванн, 9 апреля 2022 года в 8:31 → Ассоциация РАСПО провела первое учредительное собрание 1
- Kiri11.ADV1, 7 марта 2021 года в 12:01 → Логи catalina.out в TomCat 9 в формате JSON 1
Ох, спасибо.
Бодрая новость в начале года :(
Судя по тому, как много «интересных» багов обнаружилось в процессе перехода с 1.7 на 2.2 — я не удивлён. Но да, «бодрая» новость, спасибо.
Интересных — уровня «что-то мы тут недотестировали»