Red Hat исправила 3 уязвимости в Ansible, одна из которых позволяет выполнять код на сервере

В четверг Linux-компания Red Hat опубликовала уведомление о безопасности RHSA-2017:1476, посвящённое уязвимостям в системе управления конфигурациями Ansible, используемой в Red Hat OpenStack Platform 11.0 (Ocata).

Логотип Ansible / Иллюстрация с сайта En.Wikipedia.Org

Команда Red Hat Product Security присвоила важный рейтинг этому выпуску, поскольку одна из уязвимостей — CVE-2017-7466 — заключается в некорректной обработке данных, получаемых с клиентских систем, что позволяет злоумышленникам, имеющим доступ к такой клиентской системе, использующей Ansible, исполнять произвольный код на сервере-контроллере Ansible (с правами, под которыми запущена служба). Проблема затрагивает пакеты с Ansible в Red Hat OpenShift Container Platform 3.2, 3.3, 3.4 и 3.5, Red Hat OpenStack Platform 10 и 11 (версия 12 не затронута), RHEV-M 4.0, Red Hat Storage Console 2.

Две другие уязвимости: CVE-2017-7473 и CVE-2017-7481 — являются менее критичными (имеют средний статус важности). Все проблемы были обнаружены специалистами компании Red Hat.

Дмитрий Шурупов по материалам Red Hat Customer Portal, Red Hat Customer Portal.