原标题:云安全日报210809:Debian自动化运维管理系统发现信息泄露漏洞,需要尽快升级
Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机,台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来,它的稳定性和可靠性就深受用户喜爱。
8月7日,Debian发布了安全更新,修复了Ansible自动化运维管理工具发现信息泄露,参数注入等漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2021-20228 严重程度: 重要
在Ansible 引擎 2.9.18 中发现了一个漏洞,其中敏感信息在使用 basic.py 模块的子选项功能时,默认情况下不会被屏蔽,并且不受 no_log 功能的保护。该漏洞允许攻击者获取敏感信息。此漏洞的最大威胁是机密性。
2.CVE-2020-14332 严重程度: 重要
使用 module_args 时在 Ansible 引擎中发现了一个漏洞。使用检查模式 (--check-mode) 执行的任务无法正确消除事件数据中暴露的敏感数据。此漏洞允许未经授权的用户读取此数据。此漏洞的最大威胁是机密性。
3.CVE-2020-14365 严重程度: 重要
在Ansible 引擎、2.8.15 之前的 ansible-engine 2.8.x 和 2.9.13 之前的 ansible-engine 2.9.x 中发现了一个漏洞。即使将 disable_gpg_check 设置为 False(这是默认行为),安装过程中也会忽略 GPG 签名。此漏洞会导致系统上安装恶意软件包,并通过软件包安装脚本执行任意代码。此漏洞的最大威胁是完整性和系统可用性。
4.CVE-2020-10684
在 Ansible Engine 中发现了一个漏洞,2.7.17、2.8.9 和 2.9.6 之前的所有版本 2.7.x、2.8.x 和 2.9.x 分别是使用 ansible_facts 作为自身的子项并将其提升为变量时启用注入时,在清理后覆盖 ansible_facts。攻击者可以通过更改 ansible_facts(例如 ansible_hosts、用户和任何其他可能导致权限提升或代码注入的关键数据)来利用这一点。
受影响产品及版本
上述漏洞影响Debian发行版(buster)ansible 2.7.7+dfsg-1+deb10u1之前版本
解决方案
对于稳定发行版(buster),这些问题已经在 2.7.7+dfsg-1+deb10u1 版本中修复。建议及时升级ansible包。
查看更多漏洞信息 以及升级请访问官网:
https://www.debian.org/lts/security/
