Debian是很多其他发行版的种子和基础
Debian是一个完全免费,稳定,安全的基于Linux的操作系统,可以在笔记本电脑,台式机,服务器上使用Debian是很多其他发行版的种子和基础).自1993年以来,其稳定性和可靠性得到了用户的好评
日前,Debian发布安全更新,修复了Ansible自动化运维管理工具中发现的信息泄露,参数注入等漏洞。以下是该漏洞的详细信息:
漏洞详细信息
1.CVE—2021—20228严重性:很重要
在Ansible引擎2.9.18中发现一个漏洞,在使用basic.py模块的子选项功能时,敏感信息默认不被屏蔽,不受no_log函数保护该漏洞允许攻击者获取敏感信息此漏洞的最大威胁是保密性
2.CVE—2020—14332严重性:很重要
使用module_args时,在Ansible引擎中发现了一个漏洞在检查模式(—check—mode)下执行的任务无法正确消除事件数据中暴露的敏感数据此漏洞允许未经授权的用户读取这些数据此漏洞的最大威胁是保密性
3.CVE—2020—14365严重性:很重要
在Ansible引擎,2.8.15之前的ansible—engine 2.8.x和2.9.13之前的ansible—engine 2.9.x中发现漏洞即使disable_GPG_check设置为False(这是默认行为),GPG签名也将在安装过程中被忽略此漏洞可导致恶意软件包安装在系统上,并通过软件包安装脚本执行任意代码该漏洞的最大威胁是完整性和系统可用性
4.CVE—2020—10684
在可移植引擎中发现一个漏洞2.7.17,2.8.9和2.9.6之前的所有版本2.7.x,2.8.x和2.9.x分别使用ansible_facts作为其子代,并在启用注入时将其升级为变量攻击者可以通过更改ansible_facts来利用这一点,例如ansible_hosts,用户和任何其他可能导致权限提升或代码注入的关键数据
受影响的产品和版本
上述漏洞会影响Debian发行版(buster)ansible 2 . 7 . 7 dfsg—1 deb 10u 1之前的版本
解决办法
对于稳定版本(buster),这些问题已经在2.7.7版本的dfsg—1 deb10u1中得到修复建议及时升级ansible包
有关漏洞和升级的更多信息,请访问官方网站:
声明:本网转发此文章,旨在为读者提供更多信息资讯,所涉内容不构成投资、消费建议。文章事实如有疑问,请与有关方核实,文章观点非本网观点,仅供读者参考。