検出

RHEL 7:ansible(RHSA-2018:1948)

medium Nessus プラグイン ID 210306

Language:

概要

リモートの Red Hat ホストに ansible のセキュリティ更新プログラムが適用されていません。

説明

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2018:1948 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 Ansible は、シンプルなモデル駆動型の設定管理、マルチノード展開、リモートタスク実行システムです。Ansible は SSH 上で動作し、ソフトウェアやデーモンがリモートノードにインストールされている必要がありません。拡張モジュールは任意の言語で書くことができ、管理対象マシンに自動的に転送できます。

 次のパッケージが新しいアップストリームバージョンにアップグレードされました: ansible (2.5.5)

 セキュリティ修正プログラム:

 * ansible: バージョン 2.5 までの ansible では、タスク反復の失敗により no_log オプションが適切に履行されません。秘密項目のリストがタスクに供給され、タスク反復が失敗すると、no_log オプションが有効になっていても、秘密がログに漏えいする可能性があります。(CVE-2018-10855)

 Red Hat は、これらの問題を報告してくれた Tobias Henkel 氏 (BMW Car IT GmbH) に感謝の意を表します。

 バグ修正:

 * 管理者は非特権アカウントによく使用されるため、デフォルトで管理者を含めないように admin_users 設定オプションを変更しました (https://github.com/ansible/ansible/pull/41164)

 * aws_s3 - アクションプラグインに非同期サポートを追加します (https://github.com/ansible/ansible/pull/40826)

 * aws_s3 - vault ファイルの復号化を修正します (https://github.com/ansible/ansible/pull/39634)

 * ec2_ami - device_mapping ボリュームサイズを int にキャストします (https://github.com/ansible/ansible/pull/40938)

 * eos_logging - べき等性の問題を修正します (https://github.com/ansible/ansible/pull/40604)

 * キャッシュプラグイン - キャッシュタイムアウトが 0 の場合、キャッシュは期限切れにならないことを意味します。

 * ios_logging - べき等性の問題を修正します (https://github.com/ansible/ansible/pull/41029)

 * ios/nxos/eos_config - diff の設定が提供されている場合は、running_config の設定を取得しないでください (https://github.com/ansible/ansible/pull/41400)

 * nxos_banner - 複数行バナーの問題を修正します (https://github.com/ansible/ansible/pull/41026)。

 * nxos ターミナルプラグイン - 出力の切り捨てを修正します (https://github.com/ansible/ansible/pull/40960)

 * nxos_l3_interface - ループバックおよび svi インターフェースのスイッチポートの問題を修正します (https://github.com/ansible/ansible/pull/37392)。

 * nxos_snapshot - compare_option を修正します (https://github.com/ansible/ansible/pull/41386)

 このリリースに関する詳細は、https://github.com/ansible/ansible/blob/v2.5.5/changelogs/CHANGELOG-v2.5.rstfor を参照してください。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL ansible パッケージを、RHSA-2018:1948 のガイダンスに基づいて更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1588855

http://www.nessus.org/u?3ddcee89

https://access.redhat.com/errata/RHSA-2018:1948

プラグインの詳細

深刻度: Medium

ID: 210306

ファイル名: redhat-RHSA-2018-1948.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/11/5

更新日: 2024/11/5

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N

CVSS スコアのソース: CVE-2018-10855

CVSS v3

リスクファクター: Medium

基本値: 5.9

現状値: 5.2

ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:ansible-doc, p-cpe:/a:redhat:enterprise_linux:ansible, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2018/6/19

脆弱性公開日: 2018/6/16

参照情報

CVE: CVE-2018-10855

CWE: 532

RHSA: 2018:1948