Liebes Linux-Magazin-Team,

bitte beachten Sie die Informationen zu den verfügbaren Sicherheitsupdates
in der folgenden Sicherheitsmeldung.

Historie:

Version 2 (24.01.20):
Red Hat stellt für Ansible Engine 2, 2.7, 2.8 und 2.9 Sicherheitsupdates
bereit, mit denen Ansible auf die jeweils aktuellen Versionen der
Versionszweige aktualisiert wird.
Version 1 (21.01.20):
Neues Advisory

Zwei Schwachstellen in Red Hat Ansible in den Versionszweigen 2.7.x vor
Version 2.7.16, 2.8.x vor Version 2.8.8 und 2.9.x vor Version 2.9.3
ermöglichen einem entfernten, einfach authentisierten Angreifer das
Ausführen beliebiger Befehle.

Für Fedora 30 und 31 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates für
‘Ansible’ in der Version 2.9.3 im Status ‘testing’ bereit, um die
Schwachstellen zu beheben.

Zusätzlich beheben die Sicherheitsupdates für Fedora EPEL 7 und 8 die
Schwachstelle CVE-2019-14856, welche wiederum auf der unvollständige
Behebung der Schwachstelle CVE-2019-10206 basiert und einem entfernten,
einfach authentisierten Angreifer das Ausspähen von Informationen
ermöglicht.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Schwachstellenarchiv unter:
[https://adv-archiv.dfn-cert.de/adv/2020-0135]

Mit freundlichen Grüßen,
Ihr DFN-CERT Incident Response Team

—
(c) DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen ist auf den Ursprung in
angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für die DFN-CERT
Webseite. https://www.dfn-cert.de/impressum.html