UPDATE: DFN-CERT-2017-1855 Ansible: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][Fedora][RedHat]

UPDATE: DFN-CERT-2017-1855 Ansible: Eine Schwachstelle ermöglicht das Erlangen von Administratorrechten [Linux][Fedora][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (02.11.2017):
Für Fedora 25, 26 und 27 sowie für Fedora EPEL 6 stehen Sicherheitsupdates
zur Behebung der Schwachstelle in Ansible im Status ‘testing’ zur
Verfügung. Ansible wird damit auf die neue Version 2.4.1 aktualisiert.
Version 1 (20.10.2017):
Neues Advisory

Betroffene Software:

Ansible

Betroffene Plattformen:

Red Hat Enterprise Linux Server 7
Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 6

Ein entfernter, einfach authentisierter Angreifer mit niedrigen Privilegien
auf einem Ansible-Host kann sensitive Informationen über damit verknüpfte
Jenkins-Instanzen ausspähen und sich dadurch Administratorrechte in Jenkins
verschaffen.

Red Hat aktualisiert Ansible für Red Hat Enterprise Linux 7 auf Version
2.4.0 und spielt zusätzlich einen Patch zur Behebung der Schwachstelle ein.
Der Hersteller wird die Schwachstelle voraussichtlich in Version 2.3.3,
2.4.1 und 2.5.0 beheben. Für diese Versionen ist noch kein
Veröffentlichungsdatum bekannt.

Patch:

Red Hat Security Advisory RHSA-2017:2966

https://access.redhat.com/errata/RHSA-2017:2966

Patch:

Fedora Bug Fix Update FEDORA-EPEL-2017-f1f4d9585b (Fedora EPEL 6,
ansible-2.4.1.0-2)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-f1f4d9585b

Patch:

Fedora Security Update FEDORA-2017-008017c9fe (Fedora 25, ansible-2.4.1.0-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-008017c9fe

Patch:

Fedora Security Update FEDORA-2017-8bf1b0c692 (Fedora 26, ansible-2.4.1.0-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8bf1b0c692

Patch:

Fedora Security Update FEDORA-2017-c2729c23b0 (Fedora 27, ansible-2.4.1.0-2)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-c2729c23b0

CVE-2017-7550: Schwachstelle in Ansible ermöglicht Erlangen von
Administratorrechten

Über das ‘params’-Argument des Moduls ‘jenkins_plugin’ in Ansible werden
sensitive Passwörter für Jenkins in die Systemlogdateien des Ansible-Hosts
geschrieben.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1855/

Schwachstelle CVE-2017-7550 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-7550

Red Hat Security Advisory RHSA-2017:2966:
https://access.redhat.com/errata/RHSA-2017:2966

Fedora Bug Fix Update FEDORA-EPEL-2017-f1f4d9585b (Fedora EPEL 6,
ansible-2.4.1.0-2):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-f1f4d9585b

Fedora Security Update FEDORA-2017-008017c9fe (Fedora 25, ansible-2.4.1.0-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-008017c9fe

Fedora Security Update FEDORA-2017-8bf1b0c692 (Fedora 26, ansible-2.4.1.0-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8bf1b0c692

Fedora Security Update FEDORA-2017-c2729c23b0 (Fedora 27, ansible-2.4.1.0-2):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-c2729c23b0

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben