Confira !!
Conselhos LinuxSecurity
Uma atualização para ansible está agora disponível para o Ansible Engine 2.8 Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que fornece uma classificação detalhada de gravidade, está disponível para cada vulnerabilidade
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256
==================================================== ===================
Aviso de Segurança da Red Hat
Sinopse: Importante: Segurança responsável e atualização de correção de bug (2.8.11)
ID do comunicado: RHSA-2020: 1543-01
Produto: Reds Ansible Engine
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:1543
Data de emissão: 2020-04-22
Nomes do CVE: CVE-2020-1733 CVE-2020-1735 CVE-2020-1737
CVE-2020-1739 CVE-2020-1740 CVE-2020-1746
CVE-2020-10684 CVE-2020-10685
==================================================== ===================
1. Resumo:
Uma atualização para o ansible está agora disponível para o Ansible Engine 2.8
A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.
2. Versões / arquiteturas relevantes:
Red Hat Ansible Engine 2.8 para servidor RHEL 7 - noarch
Red Hat Ansible Engine 2.8 para RHEL 8 - noarch
3. Descrição:
Ansible é um gerenciamento simples de configuração orientado a modelo,
implantação e sistema de execução de tarefas remotas. O Ansible trabalha com SSH e
não requer a instalação de nenhum software ou daemons em nós remotos.
Os módulos de extensão podem ser escritos em qualquer idioma e transferidos para
máquinas gerenciadas automaticamente.
Os seguintes pacotes foram atualizados para uma versão upstream mais recente:
ansible (2.8.11)
Correção (s) de bug:
* CVE-2020-10684 Ansible: injeção de código ao usar ansible_facts como um
sub-chave
* CVE-2020-10685 Ansible: módulos que usam arquivos criptografados com cofre são
não está devidamente limpo
* CVE-2020-1733 ansible: diretório temporário inseguro ao executar
become_user de tornar-se diretiva
* CVE-2020-1735 ansible: injeção de caminho no parâmetro dest no módulo de busca
* CVE-2020-1737 ansible: A função Extract-Zip no módulo win_unzip não
verifique o caminho extraído
* CVE-2020-1739 ansible: o módulo svn vaza a senha quando especificado como um
parâmetro
* CVE-2020-1740 ansible: segredos legíveis após a edição do ansible-vault
* CVE-2020-1746 ansible: problema de divulgação de informações em ldap_attr e
módulos ldap_entry
Vejo:
https://github.com/ansible/ansible/blob/v2.8.11/changelogs/CHANGELOG-v2.8.r
st
para detalhes sobre correções de erros nesta versão.
4. Solução:
Para detalhes sobre como aplicar esta atualização, que inclui as alterações
descrito neste comunicado, consulte:
https://access.redhat.com/articles/11258
5. Bugs corrigidos (https://bugzilla.redhat.com/):
1801735 - CVE-2020-1733 ansible: diretório temporário não seguro ao executar a diretiva tornar-se usuário_de_utilização
1802085 - CVE-2020-1735 ansible: injeção de caminho no parâmetro dest no módulo de busca
1802154 - CVE-2020-1737 ansible: a função Extract-Zip no módulo win_unzip não verifica o caminho extraído
1802178 - CVE-2020-1739 ansible: o módulo svn vaza a senha quando especificado como um parâmetro
1802193 - CVE-2020-1740 ansible: segredos legíveis após edição do ansible-vault
1805491 - CVE-2020-1746 ansible: problema de divulgação de informações nos módulos ldap_attr e ldap_entry
1814627 - CVE-2020-10685 Ansible: módulos que usam arquivos criptografados com o vault não são limpos corretamente
1815519 - CVE-2020-10684 Ansible: injeção de código ao usar ansible_facts como uma subchave
6. Lista de Pacotes:
Red Hat Ansible Engine 2.8 para servidor RHEL 7:
Fonte:
ansible-2.8.11-1.el7ae.src.rpm
noarch:
ansible-2.8.11-1.el7ae.noarch.rpm
Motor Ansible da Red Hat 2.8 para RHEL 8:
Fonte:
ansible-2.8.11-1.el8ae.src.rpm
noarch:
ansible-2.8.11-1.el8ae.noarch.rpm
Esses pacotes são GPG assinados pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/
7. Referências:
https://access.redhat.com/security/cve/CVE-2020-1733
https://access.redhat.com/security/cve/CVE-2020-1735
https://access.redhat.com/security/cve/CVE-2020-1737
https://access.redhat.com/security/cve/CVE-2020-1739
https://access.redhat.com/security/cve/CVE-2020-1740
https://access.redhat.com/security/cve/CVE-2020-1746
https://access.redhat.com/security/cve/CVE-2020-10684
https://access.redhat.com/security/cve/CVE-2020-10685
https://access.redhat.com/security/updates/classification/#important
8. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1
iQIVAwUBXqBQf9zjgjWX9erEAQiAJQ // UORGwG8FTrQKZ5LAZjG + feykz3wyagy +
h1ohGUhIn41y3jbdzTXANnji23 + iwdP8wahbrvP7KRqw6wDly0BXB38f + DuTETZO
hNDtnvznb9DeSL0itKhoFeLqyclSPhnWHR7hby8MlFgeLEPEirRunLYsxeMxhT51
C6I5pYqLI7V48W / YKjJ6GRp03l9ZrzlzpchvpN8pqwVkhXcK4RG65fgt2KhdvSgc
fhvrq9Ngpywh0HxdnoU9v95RcZeIFTAXWn / A1dPmuyYo55 + cLeJPZHSVR23HEZHj
8it / f / DMFRNNt0ABCMIhnZZ3wdjhSJi / et7tuoGh8UimjuByxYk8 / Q / 4kqgcIRNc
nA7MubjPgkcLsy5STS7EpdKw9qTSDOvwq9BE9lcVwGHGDWOTZdKkm784XoSZp9iE
373PSRGYmY / 7jZP2PoHh62h2r + DtvnMeaTqvSFs37pYQDA4XxL9LtBPww5wjM62v
Zt + tx3NfQIVZo + FiRuNyjhLrF8Z1ZDTZsMg / LMyRkHdlMKtKJFYz3v8S + 1MU / ZX3
NaRpXSepO3mPoEi + EPsY3lvWFacLAmHcIEqcblYernrsEjqSbQtiOPWbcEho9Su7
Tyts05rDy9N9NOqo7VILMuFus + 4ffELR + nTVEQOrKrX65idGY + CWEnjLFZqDBanO
Tii + yAK0Qsc =
= hbUQ
----- TERMINAR ASSINATURA PGP -----
-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário