GLSA 201701-77: Ansible: Remote execution of arbitrary code

Опасность:	средняя
Заголовок:	Ansible: Remote execution of arbitrary code
Дата:	31.01.2017
Ошибки:	#605342
ID:	201701-77

Сводка

A vulnerability in Ansible may allow rogue clients to execute commands on the Ansible controller.

Назначение

Ansible is a radically simple IT automation platform.

Уязвимые пакеты

Пакет	Уязвимый	Нетронутый	Архитектура(ы)
app-admin/ansible	< 2.1.4.0_rc3	>= 2.1.4.0_rc3	All supported architectures

Описание

An input validation vulnerability was found in Ansible’s handling of data sent from client systems.

Воздействие

An attacker with control over a client system being managed by Ansible and the ability to send facts back to the Ansible server could execute arbitrary code on the Ansible server using the Ansible-server privileges.

Обход

There is no known workaround at this time.

Решение

All Ansible 2.1.x users should upgrade to the latest version:

      # emerge --sync
      # emerge --ask --oneshot --verbose ">=app-admin/ansible-2.1.4.0_rc3"
    

All Ansible 2.2.x users should upgrade to the latest version:

# emerge --sync # emerge --ask --oneshot --verbose ">=app-admin/ansible-2.2.1.0_rc5"

Ссылки

• CVE-2016-9587

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-201701-77.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.