sábado, 5 de setembro de 2020
Atualização de segurança do Mageia para o ansible, aviso Mageia Mageia 2020-0363
Confira !
Uma falha de neutralização de saída imprópria para logs foi encontrada no Ansible ao usar o módulo uri, onde dados confidenciais são expostos ao conteúdo e saída json. Essa falha permite que um invasor acesse os registros ou saídas de tarefas executadas para ler as chaves usadas em playbooks de outros usuários dentro do módulo uri. A maior ameaça desta vulnerabilidade é a confidencialidade dos dados
MGASA-2020-0363 - Pacote ansible atualizado corrige vulnerabilidades de segurança
Data de publicação: 05 de setembro de 2020
URL: https://advisories.mageia.org/MGASA-2020-0363.html
Tipo: segurança
Lançamentos afetados da Mageia: 7
CVE: CVE-2020-14430,
CVE-2020-14432,
CVE-2020-14365
Uma falha de neutralização de saída imprópria para registros foi encontrada no Ansible ao usar
o módulo uri, onde os dados confidenciais são expostos ao conteúdo e à saída json.
Esta falha permite que um invasor acesse os registros ou resultados das tarefas realizadas
para ler as chaves usadas em manuais de outros usuários dentro do módulo uri. o
A maior ameaça desta vulnerabilidade é a confidencialidade dos dados
(CVE-2020-14430).
Uma falha foi encontrada no Ansible Engine ao usar module_args. Tarefas executadas
com o modo de verificação (--check-mode) não neutraliza adequadamente os dados confidenciais
exposto nos dados do evento. Esta falha permite que usuários não autorizados leiam este
dados. A maior ameaça desta vulnerabilidade é a confidencialidade
(CVE-2020-14432).
Uma falha foi encontrada no Ansible Engine ao instalar pacotes usando o dnf
módulo. As assinaturas GPG são ignoradas durante a instalação, mesmo quando
disable_gpg_check é definido como False, que é o comportamento padrão. Esta falha
leva à instalação de pacotes maliciosos no sistema e a códigos arbitrários
executado por meio de scripts de instalação de pacote. A maior ameaça deste
vulnerabilidade é a integridade e disponibilidade do sistema (CVE-2020-14365).
Referências:
- https://bugs.mageia.org/show_bug.cgi?id=27175
- https://lists.fedoraproject.org/archives/list/ package-announce@lists.fedoraproject.org / thread / 2NYYQP2XJB2TTRP6AKWVMBSPB2DFJNKD /
- https://access.redhat.com/errata/RHSA-2020:3600
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14430
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14432
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-14365
SRPMS:
- 7 / core / ansible-2.7.18-1.1.mga7
Fonte
Até a próxima !!
Marcadores: Linux, Android, Segurança
Linux,
linux distros,
Linux Segurança,
Mageia,
Notícia
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário