Confira !!
Uma atualização para o ansible está agora disponível para o Ansible Engine 2.7 A Red Hat Product Security classificou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que fornece uma classificação detalhada de gravidade, está disponível para cada vulnerabilidade
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256
==================================================== ===================
Aviso de Segurança da Red Hat
Sinopse: Importante: Segurança responsável e atualização de correção de bug (2.7.17)
ID do comunicado: RHSA-2020: 1544-01
Produto: Reds Ansible Engine
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:1544
Data de emissão: 2020-04-22
Nomes do CVE: CVE-2020-1733 CVE-2020-1735 CVE-2020-1737
CVE-2020-1739 CVE-2020-1740 CVE-2020-1746
CVE-2020-10684 CVE-2020-10685
==================================================== ===================
1. Resumo:
Uma atualização para o ansible está agora disponível para o Ansible Engine 2.7
A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.
2. Versões / arquiteturas relevantes:
Red Hat Ansible Engine 2.7 para servidor RHEL 7 - noarch
3. Descrição:
Ansible é um gerenciamento simples de configuração orientado a modelo,
implantação e sistema de execução de tarefas remotas. O Ansible trabalha com SSH e
não requer a instalação de nenhum software ou daemons em nós remotos.
Os módulos de extensão podem ser escritos em qualquer idioma e transferidos para
máquinas gerenciadas automaticamente.
Os seguintes pacotes foram atualizados para uma versão upstream mais recente:
ansível (2.7.17)
Correção (s) de bug:
* CVE-2020-10684 Ansible: injeção de código ao usar ansible_facts como um
sub-chave
* CVE-2020-10685 Ansible: módulos que usam arquivos criptografados com cofre são
não está devidamente limpo
* CVE-2020-1733 ansible: diretório temporário inseguro ao executar
become_user de tornar-se diretiva
* CVE-2020-1735 ansible: injeção de caminho no parâmetro dest no módulo de busca
* CVE-2020-1737 ansible: A função Extract-Zip no módulo win_unzip não
verifique o caminho extraído
* CVE-2020-1739 ansible: o módulo svn vaza a senha quando especificado como um
parâmetro
* CVE-2020-1740 ansible: segredos legíveis após a edição do ansible-vault
* CVE-2020-1746 ansible: problema de divulgação de informações em ldap_attr e
módulos ldap_entry
Vejo:
https://github.com/ansible/ansible/blob/v2.7.17/changelogs/CHANGELOG-v2.7.r
st
para detalhes sobre correções de erros nesta versão.
4. Solução:
Para detalhes sobre como aplicar esta atualização, que inclui as alterações
descrito neste comunicado, consulte:
https://access.redhat.com/articles/11258
5. Bugs corrigidos (https://bugzilla.redhat.com/):
1801735 - CVE-2020-1733 ansible: diretório temporário não seguro ao executar a diretiva tornar-se usuário_de_utilização
1802085 - CVE-2020-1735 ansible: injeção de caminho no parâmetro dest no módulo de busca
1802154 - CVE-2020-1737 ansible: a função Extract-Zip no módulo win_unzip não verifica o caminho extraído
1802178 - CVE-2020-1739 ansible: o módulo svn vaza a senha quando especificado como um parâmetro
1802193 - CVE-2020-1740 ansible: segredos legíveis após edição do ansible-vault
1805491 - CVE-2020-1746 ansible: problema de divulgação de informações nos módulos ldap_attr e ldap_entry
1814627 - CVE-2020-10685 Ansible: módulos que usam arquivos criptografados com o vault não são limpos corretamente
1815519 - CVE-2020-10684 Ansible: injeção de código ao usar ansible_facts como uma subchave
6. Lista de Pacotes:
Red Hat Ansible Engine 2.7 para RHEL 7 Server:
Fonte:
ansible-2.7.17-1.el7ae.src.rpm
noarch:
ansible-2.7.17-1.el7ae.noarch.rpm
Esses pacotes são GPG assinados pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/
7. Referências:
https://access.redhat.com/security/cve/CVE-2020-1733
https://access.redhat.com/security/cve/CVE-2020-1735
https://access.redhat.com/security/cve/CVE-2020-1737
https://access.redhat.com/security/cve/CVE-2020-1739
https://access.redhat.com/security/cve/CVE-2020-1740
https://access.redhat.com/security/cve/CVE-2020-1746
https://access.redhat.com/security/cve/CVE-2020-10684
https://access.redhat.com/security/cve/CVE-2020-10685
https://access.redhat.com/security/updates/classification/#important
8. Contato:
O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/
Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1
iQIVAwUBXqBQhNzjgjWX9erEAQhvEg / + Ksod9qxxzrVN34cfFckIMXskkJitGlVt
yRM3VRHtUQPO + Cu7rLPXIwZEo9XgNc8eCelD6KjcKz0AMvQShJZmka3WeJnwNqEg
aBTh + UGQ8mFXrX87C8B89OLMlnXW643gMqMxIzT6PChdtB + 5bGNAJQjBpagXa + Lb
qX / 9z2AXkuwS8J5B3foTtsimyHyPCzfnHJAjfrGmq8nL7VOoaeQGOB4RlGzSfxIT
rULDV0s6QQD1UH6e6iiQhnncGr5Etf2Nt6OeHCQnIIL43M38VKmdu8W41vmqSYMZ
m / rwtlXx7knf + sBblPjR + PvOX4esNCWUbNlieLOp1Q0bPfnCf5Qk ++ B0e6nxQ6LT
m + 7m8q8ps7 / eZBjpBCZ4W4HzRIxrLJm / oDKYQwul7expcQ / IgbgbpvFaU9OiPWlq
7LgB1d / p52USlRbC34p3xqqpWTIl4wVjwgGdapoWr / wRa7tMvMxU803Bd6j / 47xR
FF48fM1VS0It0QUv2UTqKgviX6H6fEoCbg2AUKkb4QIGZN7Z7LPMGdk6FA // Uc / C
Q29tnoiheXF0aTlwUeWKmRuIfMHXPiCRdjcOhaJRnWHHf23GzGuNeFrb4uGn8ibm
rp7M82Sx5e + 4CAjuoOhsYeiiNbg1gZpBazz8g5Bd + fC1pBxubbsWmJlShyoalwS9
/ uJ0RbEisq8 =
= h9wP
----- TERMINAR ASSINATURA PGP -----
-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário