Debian dla-3963：ansible - 安全更新

medium Nessus 插件 ID 211754

语言：

简介

远程 Debian 主机上缺少一个或多个与安全相关的更新。

描述

远程 Debian 11 主机上安装的多个程序包受到 dla-3963 公告中提及的多个漏洞影响。

- ------------------------------------------------------------------------- Debian LTS 公告 DLA-3963-1 [email protected] https://www.debian.org/lts/security/Bastien Roucaris 2024 年 11 月 23 日 https://wiki.debian.org/LTS
- -------------------------------------------------------------------------

程序包：ansible 版本： 2.10.7+merged+base+2.10.17+dfsg-0+deb11u2 CVE ID： CVE-2024-8775 CVE-2024-9902 Debian 缺陷：1082851

Ansible 是一款命令行 IT 自动化软件应用程序。
它可以配置系统、部署软件并编排高级工作流，以支持应用程序部署、系统更新等

Ansible 受到两个漏洞影响：

CVE-2024-8775

在 Ansible 中发现一个缺陷，存储在 Ansible Vault 文件中的敏感信息可在 playbook 执行期间以明文方式暴露。使用 include_vars 等任务加载受保护的变量而未设置 no_log: true 参数时，会发生此问题，进而导致在 playbook 输出或日志中打印出敏感数据。这可能会在无意间泄露密码或 API 密钥等机密，危及安全并可能允许未经授权的访问或操作。

CVE-2024-9902

当特权用户对非特权用户的主目录执行“user”模块时，ansible-core“user”模块可允许非特权用户静默创建或替换任何系统路径中任何文件的内容，并取得该文件的所有权。
如果非特权用户对于包含被利用目标文件的目录具有遍历权限，则能够以文件所有者的身份保留对文件内容的完全控制。

对于 Debian 11 bullseye，已在 2.10.7+merged+base+2.10.17+dfsg-0+deb11u2 版本中修复这些问题。

建议您升级 ansible 程序包。

如需了解 ansible 的详细安全状态，请参阅其安全跟踪页面：
https://security-tracker.debian.org/tracker/ansible

有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。