Debian DSA-4950-1：ansible - セキュリティ更新

high Nessus プラグイン ID 152270

Language:

概要

リモートのDebianホストにセキュリティ関連の更新プログラムがありません。

説明

リモートのDebian 10ホストには、dsa-4950のアドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

- 2.6.18、2.7.12、2.8.2以前のバージョンでAnsibleテンプレートの実装方法に欠陥が発見され、予期しない変数置換を通じて情報漏洩が引き起こされる可能性があります。予期しない変数置換を利用することで、任意の変数の内容が漏洩する可能性があります。
（CVE-2019-10156）

- ansible-playbook -kとansible CLIツール、すべてのバージョン2.8.4より前の2.8.x、2.7.13より前のすべての2.7.x、および2.6.19より前のすべての2.6.xでは、特殊文字が含まれている可能性があるので、テンプレートから展開することでパスワードを要求します。テンプレートをトリガーして漏洩しないように、パスワードをラップする必要があります。（CVE-2019-10206）

- Ansibleでは、ansible-engine 2.8.5、ansible-engine 2.7.13、ansible-engine 2.6.19以前のすべてのAnsible Engineバージョンが、デバッグレベルでログを記録していたため、認証情報をデバッグレベルで記録するライブラリをプラグインが使用すると、認証情報が漏洩します。この欠陥は別のプロセスで実行されるため、Ansibleモジュールには影響しません。（CVE-2019-14846）

- Ansibleバージョン2.9.1より前の2.9.x、2.8.7より前の2.8.x、およびAnsibleバージョン2.7.15より前の2.7.xは、SumologicとSplunkのコールバックプラグインがコレクターへタスクの結果イベントを送信するのに使用される場合、Trueに設定されたフラグno_logを尊重していません。これにより、機密データが漏洩して収集される可能性があります。（CVE-2019-14864）

- Ansible Communityモジュールのsolaris_zoneモジュールに欠陥が見つかりました。Solarisホストでゾーンの名前を設定する際、リモートマシンの「ps」bareコマンドでプロセスを一覧表示することで、ゾーン名がチェックされます。攻撃者は、ゾーンの名前を細工し、リモートホストで任意のコマンドを実行することで、この欠陥を利用する可能性があります。Ansible Engine 2.7.15、2.8.7、2.9.2、ならびに以前のバージョンが影響を受けます。（CVE-2019-14904）

- ansible_factsをそれ自体のサブキーとして使用し、注入が有効な場合に変数に昇格させる際に、Ansible Engineのすべてのバージョン2.7.x、2.8.x、2.7.17より前の2.9.x、2.8.9、2.9.6に欠陥が見つかりました。これにより、クリーン後にansible_factsを上書きされます。攻撃者が、ansible_hosts、ユーザー、その他のキーデータなどのansible_factsを変更することでこれを利用し、権限昇格またはコードインジェクションにつながる可能性があります。（CVE-2020-10684）

- assemble、script、unarchive、win_copy、aws_s3、またはcopyモジュールなどのVaultファイルを復号化するモジュールを使用する際に、Ansible Engineバージョン2.7.17より前の2.7.x、2.8.11より前の2.8.x、2.9.7より前の2.9.xに影響を与えるAnsible Engine、Ansible Towerバージョン3.4.5、3.5.5、3.6.3を含む以前のバージョンで欠陥が見つかりました。/tmpに一時ディレクトリが作成され、s tsは暗号化されません。/tmpがtmpfsではなくrootパーティションの一部であるオペレーティングシステムでは、ディレクトリは起動時にのみクリアされ、ホストのスイッチがオフになったときにも復号化されたままになります。システムは、システムが実行されていないときに脆弱になります。このため、復号化されたデータはできる限り早くクリアする必要があり、通常は暗号化されているデータは破損します。（CVE-2020-10685）

- Ansibleでの不十分にランダムな値の使用に欠陥が見つかりました。同じ長さの2つのランダムなパスワード検索は、再評価が発生しないため、同じファイルに対するテンプレートキャッシュアクションと同じ値を生成します。この脆弱性による最大の脅威は、ファイルのすべてのパスワードが一度に漏洩することです。この欠陥は、2.9.6より前のバージョンのAnsible Engineに影響を与えます。（CVE-2020-10729）

- uriモジュールを使用するときにAnsibleでログの不適切な出力中性化の欠陥が見つかりました。機密データがコンテンツとjson出力に漏洩されます。この欠陥により、攻撃者は実行されたタスクのログまたは出力にアクセスして、プレイブックで使用されたキーを他のユーザーからuriモジュール内で読み取ることができます。この脆弱性による主な脅威は、データの機密性に関するものです。（CVE-2020-14330）

- module_argsを使用する際に、Ansible Engineに欠陥が見つかりました。チェックモードで実行されたタスク（--check-mode）は、イベントデータで漏洩した機密データを適切に無効にしません。この欠陥により、認証されていないユーザーがこのデータを読み取る可能性があります。この脆弱性による主な脅威は、機密性に関するものです。
（CVE-2020-14332）

- Ansible Engineにおいて、ansible-engine 2.8.15より前の2.8.xおよびansible-engine2.9.13より前の2.9.xで、dnfモジュールを使用してパッケージをインストールする際に、欠陥が発見されました。disable_gpg_checkがデフォルト動作のFalseに設定されていても、インストール中にGPG署名が無視されます。この欠陥により、悪意のあるパッケージがシステムにインストールされ、パッケージインストールスクリプトを介して任意のコードが実行されます。この脆弱性が最大の脅威となるのは、整合性とシステムの可用性です。
（CVE-2020-14365）

- Ansible Engine 2.7.17以前、2.8.9以前、2.9.6以前で、権限のないbecomeユーザーがプレイブックを実行したときに、競合状態の欠陥が見つかりました。Ansibleでbecomeユーザーがモジュールを実行する必要がある場合、/var/tmpに一時ディレクトリが作成されます。このディレクトリは、「umask 77 && mkdir -p」で作成されます。ディレクトリがすでに存在し、別のユーザーが所有している場合、この操作は失敗しません。「/proc//cmdline」を繰り返すと標的のディレクトリを取得できるため、攻撃者はこれを利用してbecomユーザーを制御する可能性があります。（CVE-2020-1733）

- フェッチモジュールを使用する際に、Ansible Engineに欠陥が見つかりました。攻撃者がモジュールを傍受し、新しいパスを挿入してから、コントローラーノードで新しい宛先パスを選択する可能性があります。2.7.x、2.8.x、および2.9.xブランチのすべてのバージョンが脆弱であると考えられています。（CVE-2020-1735）

- svnモジュールの引数「password」でパスワードを設定するとき、Ansible 2.7.16以前、2.8.8以前、2.9.5以前に欠陥が見つかりました。これは、svnコマンドラインで使用され、同じノード内の他のユーザーに公開されます。攻撃者は、procfsで特定のPIDからのcmdlineファイルを読み取ることで利用できます。（CVE-2020-1739）

- 暗号化ファイルの編集用にAnsible Vaultを使用するときに、Ansible Engineで欠陥が見つかりました。ユーザーが「ansible-vault edit」を実行すると、同じコンピューター上の別のユーザーが以前および現在の秘密を読み取ることができます。これは、mkstempを備えた一時ファイルで作成され、返されたファイル記述子が閉じられ、ファイル内の既存の秘密を書き込むためにメソッドwrite_dataが呼び出されるためです。このメソッドは、それを安全ではない方法で再作成する前にファイルを削除します。2.7.x、2.8.x、および2.9.xブランチのすべてのバージョンが脆弱であると考えられています。
（CVE-2020-1740）

- ldap_attrおよびldap_entryコミュニティモジュールが使用されるとき、Ansible Engineバージョン2.7.17より前の2.7.x、2.8.11より前の2.8.x、2.9.7より前の2.9.xに影響するAnsible Engine、およびAnsible Towerバージョン3.4.5、3.5.5、3.6.3以前に欠陥が見つかりました。この問題は、playbookタスクがbind_pwをパラメーターフィールドに使用して書き込まれている場合、LDAPバインドパスワードをstdoutまたはログファイルに漏洩します。この脆弱性による主な脅威は、データの機密性です。（CVE-2020-1746）

- k8sモジュールを使用してkubernetesを管理する際、セキュリティの欠陥はAnsible Engine、2.7.17より前のAnsible 2.7.xバージョン、2.8.11より前のAnsible 2.8.xバージョン、および2.9.7より前のAnsible 2.9.xバージョンで、セキュリティの欠陥が見つかりました。パスワードやトークンなどの機密パラメーターが、環境変数や入力構成ファイルを使用せずに、コマンドラインからkubectlに渡されます。これにより、プロセスリストからパスワードとトークンが漏洩し、デバッグモジュールからのno_logディレクティブに影響がなく、これらの機密はstdoutおよびログファイルで漏洩されます。（CVE-2020-1753）

- Ansible Engine 2.9.18に欠陥が見つかりました。機密情報はデフォルトでマスクされず、basic.pyモジュールのサブオプション機能を使用する際にno_log機能により保護されません。この欠陥により、攻撃者が機密情報を取得する可能性があります。この脆弱性による主な脅威は、機密性に関するものです。（CVE-2021-20228）

Nessusはこの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。