云安全日报210809：Debian自动化运维管理系统发现信息泄露漏洞，需要尽快升级

Debian是一个完全自由的稳定且安全的基于Linux的操作系统,其使用范围包括笔记本计算机，台式机和服务器。Debian是许多其他发行版(例如:Ubuntu、Knoppix、PureOS、SteamOS等)的种子和基础。自1993年以来，它的稳定性和可靠性就深受用户喜爱。

8月7日,Debian发布了安全更新,修复了Ansible自动化运维管理工具发现信息泄露,参数注入等漏洞。以下是漏洞详情：

漏洞详情

来源：https://www.debian.org/security/2021/dsa-4950

1.CVE-2021-20228 严重程度: 重要

在Ansible 引擎 2.9.18 中发现了一个漏洞，其中敏感信息在使用 basic.py 模块的子选项功能时，默认情况下不会被屏蔽，并且不受 no_log 功能的保护。该漏洞允许攻击者获取敏感信息。此漏洞的最大威胁是机密性。

2.CVE-2020-14332 严重程度: 重要

使用 module_args 时在 Ansible 引擎中发现了一个漏洞。使用检查模式 (--check-mode) 执行的任务无法正确消除事件数据中暴露的敏感数据。此漏洞允许未经授权的用户读取此数据。此漏洞的最大威胁是机密性。

3.CVE-2020-14365 严重程度: 重要

在Ansible 引擎、2.8.15 之前的 ansible-engine 2.8.x 和 2.9.13 之前的 ansible-engine 2.9.x 中发现了一个漏洞。即使将 disable_gpg_check 设置为 False（这是默认行为），安装过程中也会忽略 GPG 签名。此漏洞会导致系统上安装恶意软件包，并通过软件包安装脚本执行任意代码。此漏洞的最大威胁是完整性和系统可用性。

4.CVE-2020-10684

在 Ansible Engine 中发现了一个漏洞，2.7.17、2.8.9 和 2.9.6 之前的所有版本 2.7.x、2.8.x 和 2.9.x 分别是使用 ansible_facts 作为自身的子项并将其提升为变量时启用注入时，在清理后覆盖 ansible_facts。攻击者可以通过更改 ansible_facts（例如 ansible_hosts、用户和任何其他可能导致权限提升或代码注入的关键数据）来利用这一点。

受影响产品及版本

上述漏洞影响Debian发行版（buster）ansible 2.7.7+dfsg-1+deb10u1之前版本

解决方案

对于稳定发行版（buster），这些问题已经在 2.7.7+dfsg-1+deb10u1 版本中修复。建议及时升级ansible包。

查看更多漏洞信息 以及升级请访问官网：

https://www.debian.org/lts/security/