nixp.ru v3.0

22 ноября 2024,
пятница,
20:43:54 MSK

12 января 2017, 09:52

Уязвимость CVE-2016-9587 в Ansible позволяет взломанной системе запускать код на контроллере

Логотип Ansible
Логотип Ansible
Иллюстрация с сайта En.Wikipedia.Org

9 января были выпущены версии системы управления конфигурациями Ansible 2.1.4 RC1 и 2.2.1 RC3, в которых устранена уязвимость CVE-2016-9587, отнесённая к высокому уровню опасности.

Проблема CVE-2016-9587, зафиксированная в тот же день (9 января), заключается в некорректной валидации данных, поступающих в контроллер Ansible от клиентских систем. Злоумышленник, имеющий доступ к клиентской машине, обслуживаемой с помощью Ansible, имеет возможность выполнить произвольный код на сервере (контроллере) Ansible с правами пользователя/группы, под которыми запущен процесс. Предлагаемые RC-версии Ansible исправляют проблему, а разработчики просят своих пользователей проверить их как можно скорее для выпуска финального исправляющего релиза Ansible.

На Red Hat Customer Portal этой уязвимости в Ansible присвоена предпоследняя категория по значимости (Important) и подтверждено её наличие в пакетах Ansible, используемых в продуктах Red Hat OpenStack Platform 10 и 11, Red Hat OpenShift Enterprise 3, Red Hat Gluster Storage 3.1.

Постоянная ссылка к новости: http://www.nixp.ru/news/13910.html. Дмитрий Шурупов по материалам lwn.net, Red Hat Customer Portal.

fb twitter vk
tinman321

Ох, спасибо.
Бодрая новость в начале года :(

fhunter

Судя по тому, как много «интересных» багов обнаружилось в процессе перехода с 1.7 на 2.2 — я не удивлён. Но да, «бодрая» новость, спасибо.

Интересных — уровня «что-то мы тут недотестировали»