摘要:
ansible security update
安全等级: Medium
公告ID: KylinSec-SA-2024-4384
发布日期: 2024年12月30日
关联CVE: CVE-2024-8775 CVE-2024-9902
Ansible是一个彻底简单的模型驱动配置管理、多节点部署和远程任务执行系统。Ansible通过SSH工作,不需要在远程节点上安装任何软件或守护进程。扩展模块可以用任何语言编写,并且会自动传输到被管理的机器上。
安全修复:
在Ansible中发现了一个缺陷,存储在Ansible Vault文件中的敏感信息可能在执行剧本期间以明文暴露。当使用include_vars等任务加载vaulted变量时,如果没有设置no_log: true参数,就会导致敏感数据在剧本输出或日志中打印出来。这可能导致无意中泄露密码或API密钥等秘密,危及安全,并可能允许未经授权的访问或操作。(CVE-2024-8775)
ansible-core的`user`模块包含一个可被利用的缺陷,允许无特权用户在任何系统路径上静默创建或替换任何文件的内容,并在有特权用户针对无特权用户的家目录执行`user`模块时拥有它。如果无特权用户对包含被利用目标文件的目录具有遍历权限,他们将作为文件的所有者完全控制文件的内容。利用要求(如果有)- 拥有root权限的人必须使用`user`模块和`generate_ssh_key`选项(默认禁用)并针对无特权用户。- 访问上述自动化管理的系统上的相同无特权用户。(CVE-2024-9902)
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2024-8775 | KY3.5.2 | ansible | Fixed |
| CVE-2024-9902 | KY3.5.2 | ansible | Fixed |
| 软件名称 | 架构 | 版本号 |
|---|---|---|
| ansible | noarch | 2.9.27-5.ky3_5 |
| ansible-help | noarch | 2.9.27-5.ky3_5 |
方法一:下载安装包进行升级安装
1、通过下载链接下载需要升级的升级包保存,如 xxx.rpm
2、通过rpm命令升级,如 rpm -Uvh xxx.rpm
方法二:通过软件源进行升级安装
1、保持能够连接上互联网
2、通过yum命令升级指定的包,如 yum install 包名
