FERRAMENTAS LINUX: Atualização importate e correção de erros da Red Hat, aviso RedHat: RHSA-2020-1542: 01

quinta-feira, 23 de abril de 2020

Atualização importate e correção de erros da Red Hat, aviso RedHat: RHSA-2020-1542: 01



Confira !!



Uma atualização para ansible está agora disponível para o Ansible Engine 2 Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS), que fornece uma classificação detalhada de gravidade, está disponível para cada vulnerabilidade
----- COMECE A MENSAGEM ASSINADA PGP -----
Hash: SHA256

==================================================== ===================
                   Aviso de Segurança da Red Hat

Sinopse: Importante: Segurança responsável e atualização de correção de bug (2.9.7)
ID do comunicado: RHSA-2020: 1542-01
Produto: Reds Ansible Engine
URL do comunicado: https://access.redhat.com/errata/RHSA-2020:1542
Data de emissão: 2020-04-22
Nomes do CVE: CVE-2020-1733 CVE-2020-1735 CVE-2020-1737
                   CVE-2020-1739 CVE-2020-1740 CVE-2020-1746
                   CVE-2020-1753 CVE-2020-10684 CVE-2020-10685
                   CVE-2020-10691
==================================================== ===================

1. Resumo:

Uma atualização para o ansible está agora disponível para o Ansible Engine 2

A Red Hat Product Security avaliou esta atualização como tendo um impacto na segurança
de Importante. Uma pontuação básica do sistema de pontuação de vulnerabilidade comum (CVSS),
que fornece uma classificação de gravidade detalhada, está disponível para cada vulnerabilidade
no link CVE na seção References.

2. Versões / arquiteturas relevantes:

Red Hat Ansible Engine 2 para RHEL 7 - noarch
Red Hat Ansible Engine 2 para RHEL 8 - noarch

3. Descrição:

Ansible é um gerenciamento simples de configuração orientado a modelo,
implantação e sistema de execução de tarefas remotas. O Ansible trabalha com SSH e
não requer a instalação de nenhum software ou daemons em nós remotos.
Os módulos de extensão podem ser escritos em qualquer idioma e transferidos para
máquinas gerenciadas automaticamente.

Os seguintes pacotes foram atualizados para uma versão upstream mais recente:
ansível (2.9.7)

Correção (s) de bug:
* CVE-2020-10684 Ansible: injeção de código ao usar ansible_facts como um
sub-chave
* CVE-2020-10685 Ansible: módulos que usam arquivos criptografados com cofre são
não está devidamente limpo
* CVE-2020-10691 Ansible: vulnerabilidade de passagem de arquivo na galáxia ansible
instalação de coleção
* CVE-2020-1733 ansible: diretório temporário inseguro ao executar
become_user de tornar-se diretiva
* CVE-2020-1735 ansible: injeção de caminho no parâmetro dest no módulo de busca
* CVE-2020-1737 ansible: A função Extract-Zip no módulo win_unzip não
verifique o caminho extraído
* CVE-2020-1739 ansible: o módulo svn vaza a senha quando especificado como um
parâmetro
* CVE-2020-1740 ansible: segredos legíveis após a edição do ansible-vault
* CVE-2020-1746 ansible: problema de divulgação de informações em ldap_attr e
módulos ldap_entry
* CVE-2020-1753 Resolvido: o plug-in de conexão kubectl é sensível a vazamentos
em formação

Vejo:
https://github.com/ansible/ansible/blob/v2.9.7/changelogs/CHANGELOG-v2.9.rs
t
para detalhes sobre correções de erros nesta versão.

4. Solução:

Para detalhes sobre como aplicar esta atualização, que inclui as alterações
descrito neste comunicado, consulte:

https://access.redhat.com/articles/11258

5. Bugs corrigidos (https://bugzilla.redhat.com/):

1801735 - CVE-2020-1733 ansible: diretório temporário não seguro ao executar a diretiva tornar-se usuário_de_utilização
1802085 - CVE-2020-1735 ansible: injeção de caminho no parâmetro dest no módulo de busca
1802154 - CVE-2020-1737 ansible: a função Extract-Zip no módulo win_unzip não verifica o caminho extraído
1802178 - CVE-2020-1739 ansible: o módulo svn vaza a senha quando especificado como um parâmetro
1802193 - CVE-2020-1740 ansible: segredos legíveis após edição do ansible-vault
1805491 - CVE-2020-1746 ansible: problema de divulgação de informações nos módulos ldap_attr e ldap_entry
1811008 - CVE-2020-1753 Ansible: o plug-in de conexão kubectl vaza informações confidenciais
1814627 - CVE-2020-10685 Ansible: módulos que usam arquivos criptografados com o vault não são limpos corretamente
1815519 - CVE-2020-10684 Ansible: injeção de código ao usar ansible_facts como uma subchave
1817161 - CVE-2020-10691 Ansible: vulnerabilidade de passagem de arquivo na instalação da coleção ansible-galaxy

6. Lista de Pacotes:

Motor Ansible 2 da Red Hat para RHEL 7:

Fonte:
ansible-2.9.7-1.el7ae.src.rpm

noarch:
ansible-2.9.7-1.el7ae.noarch.rpm
ansible-test-2.9.7-1.el7ae.noarch.rpm

Motor Ansible 2 da Red Hat para RHEL 8:

Fonte:
ansible-2.9.7-1.el8ae.src.rpm

noarch:
ansible-2.9.7-1.el8ae.noarch.rpm
ansible-test-2.9.7-1.el8ae.noarch.rpm

Esses pacotes são GPG assinados pela Red Hat por segurança. Nossa chave e
detalhes sobre como verificar a assinatura estão disponíveis em
https://access.redhat.com/security/team/key/

7. Referências:

https://access.redhat.com/security/cve/CVE-2020-1733
https://access.redhat.com/security/cve/CVE-2020-1735
https://access.redhat.com/security/cve/CVE-2020-1737
https://access.redhat.com/security/cve/CVE-2020-1739
https://access.redhat.com/security/cve/CVE-2020-1740
https://access.redhat.com/security/cve/CVE-2020-1746
https://access.redhat.com/security/cve/CVE-2020-1753
https://access.redhat.com/security/cve/CVE-2020-10684
https://access.redhat.com/security/cve/CVE-2020-10685
https://access.redhat.com/security/cve/CVE-2020-10691
https://access.redhat.com/security/updates/classification/#important

8. Contato:

O contato de segurança da Red Hat é . Mais contato
detalhes em https://access.redhat.com/security/team/contact/

Direitos autorais 2020 Red Hat, Inc.
----- INICIAR ASSINATURA PGP -----
Versão: GnuPG v1

iQIVAwUBXqBQdtzjgjWX9erEAQiAzA / + Ixc2vA1 / QNQdZwcbTAoWl10xBXG2S5LL
+ KLCOTfHMB5e8BgGGiOnDEymEZ5SpLICs7NbHNJpZwPxEJ0SplJaVN9fy7Kg6Y4p
KjWhrfaaGJL2f7tjlGSBcKhwWC5R9YQEZPSzzV4lvP4oVNT0liQLyGeDHieAG3jg
mVcIaQp2yI8d3TPU35RK8XoDhOI / HqCBSrD + 1V3G29PbuBkO / of6oyC / oJy5yzZr
PypCWbvBiTkku2NYqqxYq94gCZypG + 44 + z4kYqKWSbBVEdkPJoLIA3 / QDS8LE60A
QnzSSV1PjKOv8AjDv4q9eH3nii3d2tfmyfr1UNVHCNCc8pEvKlx9ojb / TNB5RdYl
wYcNAiUAQDRYOGmlnsPnfh / i + HGm + XccnLdlq9Kd0 / HrpRaHVrgnQ4q8FCn8t2Vv
JBjkrahA45gcxWRz1W4eoGGbkpnhtDc604yqT3TspqhRltHOoJjMahoZ0vi8ffv2
JjkR60dPtoWDii5Eb / wUN23DwlyCW1EsdsmZfHr355hKk5vsi + 2CFMvQgW4tvG7v
kCk3wvtckWXuGax543Vl1EBgBhEOt2FNlBpeG / Ge5HXvO8C77wqF1TIApK55hapI
W2k5LGg1 / s + iYCcpJt + fC7PatHhvmFzTkqfOZWcHnCJwVdTc9bE8yUXJ2sF9LpH /
ef20i0jkIrU =
= UR80
----- TERMINAR ASSINATURA PGP -----

-
RHSA-anunciar lista de discussão
RHSA-announce@redhat.com
https://www.redhat.com/mailman/listinfo/rhsa-announce


Fonte

Até a próxima !!

Nenhum comentário:

Postar um comentário