Debian DLA-2601-1: cloud-initのセキュリティ更新

medium Nessus プラグイン ID 147928

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

cloud-initに、システムユーザーにランダム化パスワードを生成および設定する機能があります。この機能は、以下のようなcloud-configデータを渡すことで実行時に有効になります：

chpasswd: list: | user1: RANDOM

この方法を使用すると、cloud-initは、ハッシュされていないパスワードであるrawを、誰でも読み取ることができるローカルファイルに記録します。

Debian 9 'Stretch'では、この問題はバージョン0.7.9-2+deb9u1で修正されています。

お使いのcloud-initパッケージをアップグレードすることを推奨します。

cloud-initの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
https://security-tracker.debian.org/tracker/cloud-init

注：Tenable Network Security は、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。