RHEL 7: ansible(RHSA-2018: 2150)
high Nessus プラグイン ID 111026
Language:
概要
リモートのRed Hatホストに、1つ以上のセキュリティ更新プログラムが適用されていません。説明
ansibleの更新プログラムがAnsible Engine 2.5で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCommon Vulnerability Scoring System (CVSS)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。
Ansibleは、シンプルなモデル駆動型の構成管理、マルチノード展開、リモートタスク実行システムです。AnsibleはSSH上で動作し、ソフトウェアやデーモンがリモートノードにインストールされている必要がありません。拡張モジュールは任意の言語で書くことができ、管理対象マシンに自動的に転送できます。
次のパッケージが新しいUpstreamバージョンにアップグレードされました:
ansible(2.5.6)
セキュリティの修正:
* ansible: インベントリ変数は、コードを実行する可能性のあるアドホックコマンドを実行するときに、現在の作業ディレクトリから読み込まれます(CVE-2018-10874)
* ansible: ansible.cfgが現在の作業ディレクトリから読み取られ、コードが実行される可能性があります(CVE-2018-10875)
影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。
この問題は、Brian Coca氏(Red Hat)およびMichael Scherer氏(OSAS)により発見されました。
バグ修正プログラム:
*古いansibleリリースのモジュールAPIとの後方互換性のために、module_utils.basic.BOOLEANS変数を復元。
* lineinfile - 空の正規表現を使用する際の警告を追加(https://github.com/ ansible/ansible/issues/29443)
* apt - debian6のapt-markを修正(https://github.com/ansible/ansible/pull/ 41530)
* copyモジュール - 相対パス付きの再帰コピーを修正(https://github.com/ ansible/ansible/pull/40166)
* すべてのケースで適切なデバッグを表示 https://github.com/ansible/ansible/pull /41331
* eos_l2_interface - eapiを修正(https://github.com/ansible/ansible/pull/42270)
* group_by - 暗黙のローカルホストをサポート(https://github.com/ansible/ansible/ pull/41860)
* influxdb_query - 予期しない障害を引き起こした共通のリターン「results」の使用を修正しました。リターンの名前が「query_results」に変更されます
* junos_config - 確認コミットタイムアウトの問題を修正(https://github.com/ansible /ansible/pull/41527)
* lineinfile - BOFと共に使用したときに重複する行を挿入しないようinsertbeforeを修正(https://github.com/ansible/ansible/issues/38219)
* nsupdate - hmac-sha384を許可 https://github.com/ansible/ansible/pull/42209
* nxos_linkagg - 問題を修正(https://github.com/ansible/ansible/pull/41550)。
* nxos_vxlan_vtep_vni - 問題を修正(https://github.com/ansible/ansible/pull/ 42240)
* reset_connectionに正しいconn情報を使用 https://github.com/ansible/ ansible/issues/27520
* 適切なサービスファクトsystemdによる状態の検出 https://github.com/ansible /ansible/issues/40809
* varsタームのhostvarsを適切にチェック https://github.com/ansible/ansible/ pull/41819
* vyos_vlan - 集約構成の問題を修正(https://github.com/ansible/ ansible/pull/41638)
* win_domain - ADコマンドレットの1つで誤字を修正 https://github.com/ansible /ansible/issues/41536
* win_iis_webapppool - 一部のモジュール出力をnullにリダイレクトし、Ansibleが出力JSONを読み取れるようにします https://github.com/ansible/ansible/issues/40874
* win_updates - asyncでwin_updatesを実行するとエラーが発生せずに失敗する問題を修正しました
* winrm - pexpectが失敗時に入力をエコーしないように設定し、後で手動サニティチェックを行うようにします https://github.com/ansible/ansible/issues/ 41865
ソリューション
影響を受けるansibleやansible-docパッケージを更新してください。参考資料
http://www.nessus.org/u?c744196c
https://access.redhat.com/errata/RHSA-2018:2150
https://access.redhat.com/security/updates/classification/#moderate
プラグインの詳細
深刻度: High
ID: 111026
ファイル名: redhat-RHSA-2018-2150.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
公開日: 2018/7/12
更新日: 2024/4/27
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 4.6
現状値: 3.4
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2018-10875
CVSS v3
リスクファクター: High
基本値: 7.8
現状値: 6.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:ansible, p-cpe:/a:redhat:enterprise_linux:ansible-doc, cpe:/o:redhat:enterprise_linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2018/7/10
脆弱性公開日: 2018/7/2
参照情報
CVE: CVE-2018-10874, CVE-2018-10875