2017-0952: Ansible: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2017-06-06 12:41)

Neues Advisory

Version 2 (2017-08-23 12:28)

Für die Red Hat Enterprise Virtualization Engine 4.1 wird Ansible 2.3.1 als Sicherheitsupdate veröffentlicht. Damit wird die Schwachstelle für Red Hat Virtualization 4.1 und Red Hat Virtualization Manager 4.1 behoben.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux
Virtualisierung

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer, der die Ergebnisse eines Aufrufs von 'lookup' kontrollieren kann, kann Unicode-Zeichen in diese Ergebnisse injizieren, die bei Verarbeitung durch das Template-System 'jinja2' zur Ausführung beliebigen Programmcodes führen können.

Der Hersteller veröffentlicht Ansible 2.3.1 zur Behebung der Schwachstelle.

Für Fedora 24, 25 und 26 sowie Fedora EPEL 6 und 7 stehen Sicherheitsudpates auf diese Version im Status 'testing' bereit.

Schwachstellen:

CVE-2017-7481

Schwachstelle in Ansible ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.