Уязвимость CVE-2016-9587 в Ansible позволяет взломанной системе запускать код на контроллере

9 января были выпущены версии системы управления конфигурациями Ansible 2.1.4 RC1 и 2.2.1 RC3, в которых устранена уязвимость CVE-2016-9587, отнесённая к высокому уровню опасности.

Проблема CVE-2016-9587, зафиксированная в тот же день (9 января), заключается в некорректной валидации данных, поступающих в контроллер Ansible от клиентских систем. Злоумышленник, имеющий доступ к клиентской машине, обслуживаемой с помощью Ansible, имеет возможность выполнить произвольный код на сервере (контроллере) Ansible с правами пользователя/группы, под которыми запущен процесс. Предлагаемые RC-версии Ansible исправляют проблему, а разработчики просят своих пользователей проверить их как можно скорее для выпуска финального исправляющего релиза Ansible.

Логотип Ansible / Иллюстрация с сайта En.Wikipedia.Org

На Red Hat Customer Portal этой уязвимости в Ansible присвоена предпоследняя категория по значимости (Important) и подтверждено её наличие в пакетах Ansible, используемых в продуктах Red Hat OpenStack Platform 10 и 11, Red Hat OpenShift Enterprise 3, Red Hat Gluster Storage 3.1.

Дмитрий Шурупов по материалам lwn.net, Red Hat Customer Portal.