漏洞描述:
ansible 是一款开源的 IT 自动化工具,可用于跨平台进行应用程序部署、工作站和服务器配置等,ansible受影响版本中,当使用“ansible-galaxy role install”命令安装创建的 Ansible 角色时可以覆盖用户有权限访问的任意文件。攻击者可构造包含符号链接的 Ansible 角色并诱导受害者执行安装(符号链接指向目标文件的绝对路径),进而可通过向同名文件中写入内容覆盖系统中的目标文件。
影响范围:
ansible-core(-∞, 2.13.13rc1)
ansible-core(-∞, 2.14.11-1)
ansible(-∞, 5.4.0-1)
ansible-core影响所有版本
ansible影响所有版本
ansible-core影响所有版本
ansible-doc(-∞, 2.7.7+dfsg-1+deb10u2)
ansible(-∞, 2.7.7+dfsg-1+deb10u2)
ansible-core(-∞, 2.14.11-1)
ansible-core影响所有版本
ansible-core影响所有版本
ansible(-∞, 5.4.0-1)
ansible影响所有版本
ansible-core[2.14.0, 2.14.11rc1)
ansible-core[2.15.0, 2.15.5rc1)
ansible-core[2.16.0b1, 2.16.0b2)
修复方案:
将组件 ansible-core 升级至 2.14.11-1 及以上版本
将组件 ansible 升级至 5.4.0-1 及以上版本
将组件 ansible-doc 升级至 2.7.7+dfsg-1+deb10u2 及以上版本
将组件 ansible 升级至 2.7.7+dfsg-1+deb10u2 及以上版本
将组件 ansible-core 升级至 2.14.11rc1 及以上版本
将 ansible-core 升级至 2.15.5rc1 及以上版本
将 ansible-core 升级至 2.16.0b2 及以上版本
将组件 ansible-core 升级至 2.13.13rc1 及以上版本
参考链接:
https://github.com/ansible/ansible/commit/5a34fb8d83988293ef43ea408d65f7b9e8a9f9a8
https://bugzilla.redhat.com/show_bug.cgi?id=2233810
原文始发于微信公众号(飓风网络安全):【漏洞预警】ansible 存在路径遍历漏洞CVE-2023-5115
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论