详情

Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机，台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来，它的稳定性和可靠性就深受用户喜爱。

8月7日,Debian发布了安全更新,修复了Ansible自动化运维管理工具发现信息泄露,参数注入等漏洞。以下是漏洞详情:

漏洞详情

来源:/security/2021/dsa-4950

-2021-20228 严重程度: 重要

在Ansible 引擎 中发现了一个漏洞，其中敏感信息在使用 模块的子选项功能时，默认情况下不会被屏蔽，并且不受 no_log 功能的保护。该漏洞允许攻击者获取敏感信息。此漏洞的最大威胁是机密性。

-2020-14332 严重程度: 重要

使用 module_args 时在 Ansible 引擎中发现了一个漏洞。使用检查模式 (--check-mode) 执行的任务无法正确消除事件数据中暴露的敏感数据。此漏洞允许未经授权的用户读取此数据。此漏洞的最大威胁是机密性。

-2020-14365 严重程度: 重要

在Ansible 引擎、 之前的 ansible-engine 和 之前的 ansible-engine 中发现了一个漏洞。即使将 disable_gpg_check 设置为 False（这是默认行为），安装过程中也会忽略 GPG 签名。此漏洞会导致系统上安装恶意软件包，并通过软件包安装脚本执行任意代码。此漏洞的最大威胁是完整性和系统可用性。

-2020-10684

在 Ansible Engine 中发现了一个漏洞，、 和 之前的所有版本 、 和 分别是使用 ansible_facts 作为自身的子项并将其提升为变量时启用注入时，在清理后覆盖 ansible_facts。攻击者可以通过更改 ansible_facts（例如 ansible_hosts、用户和任何其他可能导致权限提升或代码注入的关键数据）来利用这一点。

受影响产品及版本

上述漏洞影响Debian发行版（buster）ansible +dfsg-1+deb10u1之前版本

解决方案

对于稳定发行版（buster），这些问题已经在 +dfsg-1+deb10u1 版本中修复。建议及时升级ansible包。

查看更多漏洞信息 以及升级请访问官网:

/lts/security/