Af Torben B. Sørensen, 11/01/17
Administrationsværktøjet Ansible har lukket et sikkerhedshul, der kan udnyttes, hvis hackere overtager en af de computere, systemet administrerer.
Sårbarheden findes i Ansible Controller, der er det centrale overvågningsmodul. Det læser data fra de systemer, det administrerer.
Hvis en computer bliver overtaget, kan angriberen placere data på den, som Controller læser. Det kan misbruges til at afvikle programkode på Ansible Controller.
Fejlen er rettet i to versioner: Ansible 2.1.4 RC1 og 2.2.1 RC3.
Anbefaling
Test og installer opdateringen.
Links
- IMPORTANT - New RCs for Security Bug CVE-2016-9587
- Command execution on Ansible controller from host, Computest security advisory CT-2017-0109
- Ansible patches 'own the farm' vulnerability, artikel fra The Register