Confira !!
Uma atualização que resolve 8 vulnerabilidades e tem duas correções está agora disponível.
Atualização de segurança do openSUSE: atualização de segurança para ansible
______________________________________________________________________________
ID do anúncio: openSUSE-SU-2020: 0513-1
Classificação: moderado
Referências: # 1137479 # 1142542 # 1142690 # 1144453 # 1153452
# 1154231 # 1154232 # 1154830 # 1157968 # 1157969
Referências cruzadas: CVE-2019-10206 CVE-2019-10217 CVE-2019-14846
CVE-2019-14856 CVE-2019-14858 CVE-2019-14864
CVE-2019-14904 CVE-2019-14905
Produtos afetados:
openSUSE Leap 15.1
______________________________________________________________________________
Uma atualização que resolve 8 vulnerabilidades e tem duas correções
está agora disponivel.
Descrição:
Esta atualização para a versão 2.9.6 corrige os seguintes problemas:
Problemas de segurança corrigidos:
- CVE-2019-14904: corrigida uma vulnerabilidade no módulo solaris_zone via crafted
zona solaris (boo # 1157968).
- CVE-2019-14905: corrigido um problema em que o código malicioso podia criar o nome do arquivo
no módulo nxos_file_copy (boo # 1157969).
- CVE-2019-14864: vazamento de plug-ins Splunk e Sumologic corrigidos de retorno de chamada
dados confidenciais em logs (boo # 1154830).
- CVE-2019-14846: a divulgação de segredos corrigida nos logs devido à exibição é
codificado para o nível DEBUG (boo # 1153452)
- CVE-2019-14856: Correção insuficiente corrigida para CVE-2019-10206 (boo # 1154232)
- CVE-2019-14858: dados fixos nos campos dos subparâmetros que não serão
mascarado e será exibido quando executado com maior verbosidade
(boo # 1154231)
- CVE-2019-10206: prompt do ansible-playbook -k e ansible cli tools
senhas expandindo-as a partir de modelos, pois elas podem conter
personagens. As senhas devem ser agrupadas para impedir que os modelos sejam acionados e
expondo-os. (boo # 1142690)
- CVE-2019-10217: os campos que gerenciam dados confidenciais devem ser definidos como tal por
recurso no_log. Alguns desses campos nos módulos GCP não estão definidos
devidamente. service_account_contents (), que é classe comum para todos os gcp
modules não está configurando no_log como True. Quaisquer dados confidenciais gerenciados por
essa função seria vazada como saída ao executar playbooks ansible.
(boo # 1144453)
Instruções de patch:
Para instalar esta atualização de segurança do openSUSE, use os métodos de instalação recomendados pelo SUSE
como o YaST online_update ou "zypper patch".
Como alternativa, você pode executar o comando listado para o seu produto:
- openSUSE Leap 15.1:
zypper no patch -t openSUSE-2020-513 = 1
Lista de Pacotes:
- openSUSE Leap 15.1 (noarch):
ansible-2.9.6-lp151.2.7.1
ansible-doc-2.9.6-lp151.2.7.1
ansible-test-2.9.6-lp151.2.7.1
Referências:
https://www.suse.com/security/cve/CVE-2019-10206.html
https://www.suse.com/security/cve/CVE-2019-10217.html
https://www.suse.com/security/cve/CVE-2019-14846.html
https://www.suse.com/security/cve/CVE-2019-14856.html
https://www.suse.com/security/cve/CVE-2019-14858.html
https://www.suse.com/security/cve/CVE-2019-14864.html
https://www.suse.com/security/cve/CVE-2019-14904.html
https://www.suse.com/security/cve/CVE-2019-14905.html
https://bugzilla.suse.com/1137479
https://bugzilla.suse.com/1142542
https://bugzilla.suse.com/1142690
https://bugzilla.suse.com/1144453
https://bugzilla.suse.com/1153452
https://bugzilla.suse.com/1154231
https://bugzilla.suse.com/1154232
https://bugzilla.suse.com/1154830
https://bugzilla.suse.com/1157968
https://bugzilla.suse.com/1157969
-
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário