openSUSE 安全更新:ansible (openSUSE-2019-1635)

high Nessus 插件 ID 126326

简介

远程 openSUSE 主机缺少安全更新。

描述

针对 ansible 的此项更新修复下列问题:Ansible 已更新到 2.8.1 版本:完整的变更日志位于 /usr/share/doc/packages/ansible/changelogs/ - 缺陷修复 - ACI - 未编码 query_string - ACI 模块 - 修复非签名验证 - 将通过 ``--playbook-dir`` 提供的缺失目录添加到相邻的集合加载中 - 修复在使用不存在接口配置的 eos_l2_interface 时出现的“找不到接口”的错误 - 修复不能在 `source_auth` 配置为 `credential_file` 时取得凭据。- 修复 netconf_config 备份字符串问题 - 修复需要提供凭据时 docker 连接插件的权限提升支持(例如有密码的 sudo)。- 修复 vyos cli 提示检查 - 修复自集合加载命名空间的文档片段。- 修复针对 coverity 运行 cnos_vrf 模块后出现的缺陷。- 正确处理 PVC 创建上数据导入器故障,而不是超时。- 若要修复 CI 中 ios 静态路由 TC 故障 - 若要修复 nios 成员模块 params - 若要修复 nios_zone 模块幂等性故障 - 添加初始化连接的终端初始提示 - 允许 include_role 和 ansible 命令合作 - 允许 python_requirements_facts 报告包括破折号的依赖项 - asa_config fix - azure_rm_roledefinition - 修复构建范围中的小错误。- azure_rm_virtualnetworkpeering - 修复跨订阅虚拟网络对等。- cgroup_perf_recap - 当未使用 file_per_task 时,确保不会过早关闭 perf 文件 - 在报告无效 ``tasks:`` 块时显示底层错误。- dnf - 修复通配符符合 state: absent - docker 连接插件 - 接受 ``dev`` 版本为“最新版本”并打印警告。- 自从 docker-py 1.8.0 起,``oom_killer`` 和 ``oom_score_adj`` 选项可用,而不是版本检查所假设的 2.0.0 版本。- docker_container - 当 ``networks_cli_compatible`` 启用时,修复网络创建。- docker_container - 使用 docker API 的 ``restart`` 而非 ``stop``/``start`` 来重新启动容器。- docker_image - 若未指定 ``build``,代表使用 ``build.rm`` 的错误默认值。- docker_image - 若 ``nocache`` 设置为 ``yes`` 而非 ``build.nocache``,则模块会故障。- docker_image - 当配置 ``source: build`` 但未指定 ``build.path`` 选项时,则模块会故障。- docker_network 模块 - 在 ``ipam_config`` 中使用 ``aux_addresses`` 时,修复幂等性。- ec2_instance - 造成 Name 标签幂等 - eos:成为集之前不可让模块失败,显示消息并继续 - eos_config:当要求 'diff_against: session' 时,检查会话支持 - eos_eapi:当未指定 vrf 时,修复幂等性问题。- 修复 ce 缺陷 - 详情请参阅 - 修复 to_native 的不正确使用,应为 to_text。- hcloud_volume - 将服务器附加到卷时,修复幂等性。- ibm_storage - 在 ibm_storage utils 模块中,添加 null 字段检查。- include_tasks - 将白名单 ``listen`` 作为有效关键字 - k8s - 强制资源更新的应用现已正常工作 - 当非 no_log 时,同样保持结果子集。- meraki_switchport - 以原生 VLAN 功能提升可靠性。- netapp_e_iscsi_target - 修复 netapp_e_iscsi_target chap 秘密大小和清理功能 - netapp_e_volumes - 当存储阵列上不存在先前工作负载标签时,修复工作负载 profileId 索引。- nxos_acl 无 ACL 存在时,会引发某些平台/版本 - nxos_facts 修复 <https://github.com/ansible/ansible/pull/57009> - nxos_file_copy 修复 passwordless 工作流程 - nxos_interface 修复 n6k 的 admin_state 检查 - nxos_snmp_traps 修复 N35 平台所有组 - nxos_snmp_user 修复 get_snmp_user 平台修复 - nxos_vlan 模式幂等性缺陷 - nxos_vlan vlan 名称包含应转义的 regex ctl chars - nxos_vtp_* 模块修复 n6k 问题 - openssl_certificate - 修复处理 ``cryptography`` 后端的私钥复杂密码。- openssl_pkcs12 - 当私钥有复杂密码和第二次运行模块时,修复崩溃。- os_stack - 有条件的应用标签,以便模块不会在使用较旧的 openstacksdk 的 distro 时出现错误 - 传递正确加载环境到持续连接而非本地 - pkg_mgr - Ansible 2.8.0 版无法在 Amazon Linux 安装 yum 程序包 - postgresql - 添加初始化 SSL 相关测试 - postgresql - 添加 missing_required_libs,删除额外的 param 映射 - postgresql - 将 connect_to_db 和 get_pg_version 移动到 module_utils/postgres.py (https://github.com/ansible/ansible/pull/55514) - postgresql_db - 添加备注到有关状态转储和不正确 rc 的文件 (https://github.com/ansible/ansible/pull/57297) - postgresql_db - 若 stderr 包括输出,修复 postgresql_db 故障 - postgresql_ping - 修复模块文件中的拼写错误 - 无法连接时保留实际 ssh 错误。- route53_facts - 模块未通知检查模式支持,造成其未在检查模式中运行。- sysctl:若值有正确设置,模块现在也会检查 STDERR 的输出来进行报告 (https://github.com/ansible/ansible/pull/55695) - ufw - 当记录关闭时,正确检查状态 - uri - 即便在故障期间,也一直返回状态值 - urls - 通过不拆分 ``:`` 和根据已解析的主机名称和端口值来正确处理 IPv6 地址的重定向 - vmware_vm_facts - 以常规 ESXi 修复支持 - vyos_interface 修复 <https://github.com/ansible/ansible/pull/57169> - 我们在定义上不需要模拟 vars,因为我们在模板中按需执行此操作。- win_acl - 使用 UNC 路径时,修复限定符解析器 - - win_hostname - 修复非 netbios 符合名称处理 - winrm - 在尝试解析 CLIXML 发送输入失败时,修复问题 - xenserver_guest - 若重新配置需要关闭 VM 电源,则即便 VM 已使用检查模式依然会关闭电源,修复此问题。- xenserver_guest - 当达到最大网络接口数并且一次性添加多个网络接口时,将显示正确的错误消息。- yum - 修复有关未受支持的 autoremove 的虚假错误消息 - yum - 使用 ``update_cache`` standalone 时,修复故障 - yum - 处理 yum.conf 和 .repo 文件中的代理特殊 '_none_' 值。更新到 2.8.0 版 重大变更:- Ansible Collections 和内容命名空间的实验支持 - Ansible 内容现在可打包进一个集合中,并通过命名空间进行寻址。这允许进行更容易的共享、分发和安装捆绑模块/角色/插件,并和通过命名空间访问特定内容的规则达成一致。- 发现 Python 解释器 - 当 Python 模块第一次在目标上运行时,Ansible 将尝试发现用于目标平台/版本的正确默认 Python 解释器(并非立即默认为 /usr/bin/python)。可通过设置 ansible_python_interpreter 或通过配置来替代此行为。(请查看 https://github.com/ansible/ansible/pull/50163)- become - 针对 --sudo、--sudo-user、--ask-sudo-pass、-su、--su-user 和 --ask-su-pass 弃用的 CLI 参数已删除,成为更通用的 --become、--become-user、--become-method 和 --ask-become-pass。- become - become 功能已迁移至插件架构,以允许 become 功能的自定义和第三方 become 方式 (https://github.com/ansible/ansible/pull/50991) - 处理 CVE-2018-16859、CVE-2018-16876、CVE-2019-3828、CVE-2018-16837 完整更新日志请查看 /usr/share/doc/packages/ansible/changelogs 或在线:https://github.com/ansible/ansible/blob/stable-2.8/changelogs/CHANGELO G-v2.8.rst

解决方案

更新受影响的 ansible 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=1109957

https://bugzilla.opensuse.org/show_bug.cgi?id=1112959

https://bugzilla.opensuse.org/show_bug.cgi?id=1118896

https://bugzilla.opensuse.org/show_bug.cgi?id=1126503

http://www.nessus.org/u?038dc6b5

https://github.com/ansible/ansible/pull/50163

https://github.com/ansible/ansible/pull/50991

https://github.com/ansible/ansible/pull/55514

https://github.com/ansible/ansible/pull/55695

https://github.com/ansible/ansible/pull/57009

https://github.com/ansible/ansible/pull/57169

https://github.com/ansible/ansible/pull/57297

插件详情

严重性: High

ID: 126326

文件名: openSUSE-2019-1635.nasl

版本: 1.7

类型: local

代理: unix

发布时间: 2019/6/28

最近更新时间: 2022/5/23

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Low

基本分数: 3.5

时间分数: 2.6

矢量: AV:N/AC:M/Au:S/C:P/I:N/A:N

时间矢量: E:U/RL:OF/RC:C

CVSS 分数来源: CVE-2018-16876

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:novell:opensuse:ansible, cpe:/o:novell:opensuse:15.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2019/6/27

漏洞发布日期: 2018/10/23

参考资料信息

CVE: CVE-2018-16837, CVE-2018-16859, CVE-2018-16876, CVE-2019-3828