debian是一个完全自由的稳定且安全的基于linux的操作系统,其使用范围包括笔记本计算机,台式机和服务器。debian是许多其他发行版的种子和基础。自1993年以来,它的稳定性和可靠性就深受用户喜爱。
8月7日,debian发布了安全更新,修复了Ansible自动化运维管理工具发现信息泄露,参数注入等漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2021-20228 严重程度: 重要
在Ansible 引擎 2.9.18 中发现了一个漏洞,其中敏感信息在使用 baSiC.py 模块的子选项功能时,默认情况下不会被屏蔽,并且不受 no_log 功能的保护。该漏洞允许攻击者获取敏感信息。此漏洞的最大威胁是机密性。
2.CVE-2020-14332 严重程度: 重要
使用 module_aRgs 时在 Ansible 引擎中发现了一个漏洞。使用检查模式 执行的任务无法正确消除事件数据中暴露的敏感数据。此漏洞允许未经授权的用户读取此数据。此漏洞的最大威胁是机密性。
3.CVE-2020-14365 严重程度: 重要
在Ansible 引擎、2.8.15 之前的 ansible-engine 2.8.x 和 2.9.13 之前的 ansible-engine 2.9.x 中发现了一个漏洞。即使将 disable_gpg_check 设置为 FAlse(这是默认行为),安装过程中也会忽略 GPG 签名。此漏洞会导致系统上安装恶意软件包,并通过软件包安装脚本执行任意代码。此漏洞的最大威胁是完整性和系统可用性。
4.CVE-2020-10684
在 Ansible engine 中发现了一个漏洞,2.7.17、2.8.9 和 2.9.6 之前的所有版本 2.7.x、2.8.x 和 2.9.x 分别是使用 ansible_FActs 作为自身的子项并将其提升为变量时启用注入时,在清理后覆盖 ansible_FActs。攻击者可以通过更改 ansible_FActs(例如 ansible_hosts、用户和任何其他可能导致权限提升或代码注入的关键数据)来利用这一点。
受影响产品及版本
上述漏洞影响debian发行版ansible 2.7.7+dfSG-1+deb10u1之前版本
解决方案
对于稳定发行版,这些问题已经在 2.7.7+dfSG-1+deb10u1 版本中修复。建议及时升级ansible包。
查看更多漏洞信息 以及升级请访问官网:
https://www.debian.org/lts/security/