FERRAMENTAS LINUX: Atualização de segurança do Mageia para o ansible, aviso Mageia Mageia 2020-0363

sábado, 5 de setembro de 2020

Atualização de segurança do Mageia para o ansible, aviso Mageia Mageia 2020-0363




Confira !



Uma falha de neutralização de saída imprópria para logs foi encontrada no Ansible ao usar o módulo uri, onde dados confidenciais são expostos ao conteúdo e saída json. Essa falha permite que um invasor acesse os registros ou saídas de tarefas executadas para ler as chaves usadas em playbooks de outros usuários dentro do módulo uri. A maior ameaça desta vulnerabilidade é a confidencialidade dos dados
MGASA-2020-0363 - Pacote ansible atualizado corrige vulnerabilidades de segurança

Data de publicação: 05 de setembro de 2020
URL: https://advisories.mageia.org/MGASA-2020-0363.html
Tipo: segurança
Lançamentos afetados da Mageia: 7
CVE: CVE-2020-14430,
     CVE-2020-14432,
     CVE-2020-14365

Uma falha de neutralização de saída imprópria para registros foi encontrada no Ansible ao usar
o módulo uri, onde os dados confidenciais são expostos ao conteúdo e à saída json.
Esta falha permite que um invasor acesse os registros ou resultados das tarefas realizadas
para ler as chaves usadas em manuais de outros usuários dentro do módulo uri. o
A maior ameaça desta vulnerabilidade é a confidencialidade dos dados
(CVE-2020-14430).

Uma falha foi encontrada no Ansible Engine ao usar module_args. Tarefas executadas
com o modo de verificação (--check-mode) não neutraliza adequadamente os dados confidenciais
exposto nos dados do evento. Esta falha permite que usuários não autorizados leiam este
dados. A maior ameaça desta vulnerabilidade é a confidencialidade
(CVE-2020-14432).

Uma falha foi encontrada no Ansible Engine ao instalar pacotes usando o dnf
módulo. As assinaturas GPG são ignoradas durante a instalação, mesmo quando
disable_gpg_check é definido como False, que é o comportamento padrão. Esta falha
leva à instalação de pacotes maliciosos no sistema e a códigos arbitrários
executado por meio de scripts de instalação de pacote. A maior ameaça deste
vulnerabilidade é a integridade e disponibilidade do sistema (CVE-2020-14365).

Referências:
- https://bugs.mageia.org/show_bug.cgi?id=27175
- https://lists.fedoraproject.org/archives/list/ package-announce@lists.fedoraproject.org / thread / 2NYYQP2XJB2TTRP6AKWVMBSPB2DFJNKD /
- https://access.redhat.com/errata/RHSA-2020:3600
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14430
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14432
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14365

SRPMS:
- 7 / core / ansible-2.7.18-1.1.mga7


Fonte

Até a próxima !!
Cezar Henrique at
Marcadores: Linux, Android, Segurança , , , ,

Nenhum comentário:

Postar um comentário

Assinar: Postar comentários (Atom)