DFN-CERT-2017-1855 Ansible: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][RedHat]

DFN-CERT-2017-1855 Ansible: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Ansible

Betroffene Plattformen:

Red Hat Enterprise Linux Server 7

Ein entfernter, einfach authentisierter Angreifer mit niedrigen Privilegien
auf einem Ansible-Host kann sensitive Informationen über damit verknüpfte
Jenkins-Instanzen ausspähen und sich dadurch Administratorrechte in Jenkins
verschaffen.

Red Hat aktualisiert Ansible für Red Hat Enterprise Linux 7 auf Version
2.4.0 und spielt zusätzlich einen Patch zur Behebung der Schwachstelle ein.
Der Hersteller wird die Schwachstelle voraussichtlich in Version 2.3.3,
2.4.1 und 2.5.0 beheben. Für diese Versionen ist noch kein
Veröffentlichungsdatum bekannt.

Patch:

Red Hat Security Advisory RHSA-2017:2966

https://access.redhat.com/errata/RHSA-2017:2966

CVE-2017-7550: Schwachstelle in Ansible ermöglicht Erlangen von
Administratorrechten

Über das ‘params’-Argument des Moduls ‘jenkins_plugin’ in Ansible werden
sensitive Passwörter für Jenkins in die Systemlogdateien des Ansible-Hosts
geschrieben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1855/

Schwachstelle CVE-2017-7550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7550

Red Hat Security Advisory RHSA-2017:2966:
https://access.redhat.com/errata/RHSA-2017:2966

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben