Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Уязвимость CVE-2016-9587 в Ansible позволяет взломанной системе запускать код на контроллере


Вас категорически приветствует автоматически сгенерированная почтовая рассылка с новостями от nixp.ru!


12.01.2017 09:52

Уязвимость CVE-2016-9587 в Ansible позволяет взломанной системе запускать код на контроллере

9 января были выпущены версии системы управления конфигурациями Ansible 2.1.4 RC1 и 2.2.1 RC3, в которых устранена уязвимость CVE-2016-9587, отнесённая к высокому уровню опасности.

Проблема CVE-2016-9587, зафиксированная в тот же день (9 января), заключается в некорректной валидации данных, поступающих в контроллер Ansible от клиентских систем. Злоумышленник, имеющий доступ к клиентской машине, обслуживаемой с помощью Ansible, имеет возможность выполнить произвольный код на сервере (контроллере) Ansible с правами пользователя/группы, под которыми запущен процесс. Предлагаемые RC-версии Ansible исправляют проблему, а разработчики просят своих пользователей проверить их как можно скорее для выпуска финального исправляющего релиза Ansible.

На Red Hat Customer Portal этой уязвимости в Ansible присвоена предпоследняя категория по значимости (Important) и подтверждено её наличие в пакетах Ansible, используемых в продуктах Red Hat OpenStack Platform 10 и 11, Red Hat OpenShift Enterprise 3, Red Hat Gluster Storage 3.1.

Комментарии к новости >>




Не забудьте, что мы всегда рады вашим комментариям к новостям непосредственно на nixp.ru!


Другие способы получения новостей от nixp.ru:



В избранное