quinta-feira, 23 de abril de 2020
Atualização de segurança e correção de erros da Red Hat, aviso RedHat: RHSA-2020-1541: 01
Confira !!
Uma atualização para ansible está agora disponível para o Ansible Engine 2.9 Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que fornece uma classificação detalhada de gravidade, está disponível para cada vulnerabilidade
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256
==================================================== ===================
Aviso de Segurança da Red Hat
Sinopse: Importante: Segurança responsável e atualização de correção de bug (2.9.7)
ID do comunicado: RHSA-2020: 1541-01
Produto: Reds Ansible Engine
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:1541
Data de emissão: 2020-04-22
Nomes do CVE: CVE-2020-1733 CVE-2020-1735 CVE-2020-1737
CVE-2020-1739 CVE-2020-1740 CVE-2020-1746
CVE-2020-1753 CVE-2020-10684 CVE-2020-10685
CVE-2020-10691
==================================================== ===================
1. Resumo:
Uma atualização para o ansible está agora disponível para o Ansible Engine 2.9
A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.
2. Versões / arquiteturas relevantes:
Red Hat Ansible Engine 2.9 para servidor RHEL 7 - noarch
Red Hat Ansible Engine 2.9 para RHEL 8 - noarch
3. Descrição:
Ansible é um gerenciamento simples de configuração orientado a modelo,
implantação e sistema de execução de tarefas remotas. O Ansible trabalha com SSH e
não requer a instalação de nenhum software ou daemons em nós remotos.
Os módulos de extensão podem ser escritos em qualquer idioma e transferidos para
máquinas gerenciadas automaticamente.
Os seguintes pacotes foram atualizados para uma versão upstream mais recente:
ansível (2.9.7)
Correção (s) de bug:
* CVE-2020-10684 Ansible: injeção de código ao usar ansible_facts como um
sub-chave
* CVE-2020-10685 Ansible: módulos que usam arquivos criptografados com cofre são
não está devidamente limpo
* CVE-2020-10691 Ansible: vulnerabilidade de passagem de arquivo na galáxia ansible
instalação de coleção
* CVE-2020-1733 ansible: diretório temporário inseguro ao executar
become_user de tornar-se diretiva
* CVE-2020-1735 ansible: injeção de caminho no parâmetro dest no módulo de busca
* CVE-2020-1737 ansible: A função Extract-Zip no módulo win_unzip não
verifique o caminho extraído
* CVE-2020-1739 ansible: o módulo svn vaza a senha quando especificado como um
parâmetro
* CVE-2020-1740 ansible: segredos legíveis após a edição do ansible-vault
* CVE-2020-1746 ansible: problema de divulgação de informações em ldap_attr e
módulos ldap_entry
* CVE-2020-1753 Resolvido: o plug-in de conexão kubectl é sensível a vazamentos
em formação
Vejo:
https://github.com/ansible/ansible/blob/v2.9.7/changelogs/CHANGELOG-v2.9.rs
t
para detalhes sobre correções de erros nesta versão.
4. Solução:
Para detalhes sobre como aplicar esta atualização, que inclui as alterações
descrito neste comunicado, consulte:
https://access.redhat.com/articles/11258
5. Bugs corrigidos (https://bugzilla.redhat.com/):
1801735 - CVE-2020-1733 ansible: diretório temporário não seguro ao executar a diretiva tornar-se usuário_de_utilização
1802085 - CVE-2020-1735 ansible: injeção de caminho no parâmetro dest no módulo de busca
1802154 - CVE-2020-1737 ansible: a função Extract-Zip no módulo win_unzip não verifica o caminho extraído
1802178 - CVE-2020-1739 ansible: o módulo svn vaza a senha quando especificado como um parâmetro
1802193 - CVE-2020-1740 ansible: segredos legíveis após edição do ansible-vault
1805491 - CVE-2020-1746 ansible: problema de divulgação de informações nos módulos ldap_attr e ldap_entry
1811008 - CVE-2020-1753 Ansible: o plug-in de conexão kubectl vaza informações confidenciais
1814627 - CVE-2020-10685 Ansible: módulos que usam arquivos criptografados com o vault não são limpos corretamente
1815519 - CVE-2020-10684 Ansible: injeção de código ao usar ansible_facts como uma subchave
1817161 - CVE-2020-10691 Ansible: vulnerabilidade de passagem de arquivo na instalação da coleção ansible-galaxy
6. Lista de Pacotes:
Red Hat Ansible Engine 2.9 para RHEL 7 Server:
Fonte:
ansible-2.9.7-1.el7ae.src.rpm
noarch:
ansible-2.9.7-1.el7ae.noarch.rpm
ansible-test-2.9.7-1.el7ae.noarch.rpm
Motor Ansible da Red Hat 2.9 para RHEL 8:
Fonte:
ansible-2.9.7-1.el8ae.src.rpm
noarch:
ansible-2.9.7-1.el8ae.noarch.rpm
ansible-test-2.9.7-1.el8ae.noarch.rpm
Esses pacotes são GPG assinados pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/
7. Referências:
https://access.redhat.com/security/cve/CVE-2020-1733
https://access.redhat.com/security/cve/CVE-2020-1735
https://access.redhat.com/security/cve/CVE-2020-1737
https://access.redhat.com/security/cve/CVE-2020-1739
https://access.redhat.com/security/cve/CVE-2020-1740
https://access.redhat.com/security/cve/CVE-2020-1746
https://access.redhat.com/security/cve/CVE-2020-1753
https://access.redhat.com/security/cve/CVE-2020-10684
https://access.redhat.com/security/cve/CVE-2020-10685
https://access.redhat.com/security/cve/CVE-2020-10691
https://access.redhat.com/security/updates/classification/#important
8. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1
iQIVAwUBXqBQe9zjgjWX9erEAQjXhA / + J7KwEPq + gxqLRm5lPkiWn9TuBvo3lUQi
7qH / ikNGTfuxCkCGkIDh7m7lVHiiabvXv6mYhrT4ftT + xwwYoPj0KWQKk9RLS4rP
V8wuikADq + TrU97pt6rO9rDLig4aLo6A5Xz9UX405vbEwQxSYX5VJBfEzISazfhK
9LM2mjdJPvewQ3ZCfb0w / u0YrO6HJHWAQYtw3ZdaezS7KYucVy9yAsMhr7SF1QoB
a3zjkP4RKQD / x5pMU1ylAU3wP / AekUgu9KK2buB0Fx8E5r8xruEhJIZCIxBaMWbo
YJt3l8 / 8flCd5PMR4NSK14d1nouc4nfMzGERfAq3Q1B + 5f0qrkCyZG1uUwNqrgBf
BQUH00aY2LxV0jSfaw + xtd + fsTJ2fMXaIdY40zkOJWewJvqPJcIxECyUBw0Ro3Zu
XkMo42imCaL4zISRg5GuZWHhBf / YJs5YDdeh44g5GpKJXQtKO + U5CROMZvFjfTBu
zgP629OTXlcR6RHLUlI0aqooccqoy6auIAi1P3LvPxI9PFwzTrrwr3pfwR3xBCfM
HTJ3RFLpAAgShNCbxWQTvvlespDmaxzfLAr6lQgSKvL40Mm9gVx + T / 6mvbUccvgD
UvIi3vyyqscvSWBOzBgeglbppgaUmcTXOVvp + ZAwLDNFvtsBMnUcpcf3Sm7IjBUQ
gkJac3fokbs =
= qWGi
----- TERMINAR ASSINATURA PGP -----
-
RHSA-anuncio lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce
Marcadores: Linux, Android, Segurança
Linux,
linux distros,
Linux Segurança,
Notícia,
Red Hat
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário