Numéro : AV17-005
Date : Le 11 janvier 2017
Objet
L'objectif de cet avis est d'attirer l'attention sur une mise-à-jour de sécurité pour Ansible.
Évaluation
Des mises à jour de sécurité ont été publiées pour Ansible pour répondre à une vulnérabilité (élevée). L'exploitation de cette vulnérabilité pourrait permettre à un attaquant malveillant d'exécuter des commandes sur le contrôleur Ansible associé à un hôte. Cette capacité pourrait être utilisée pour compromettre les autres hôtes gérés par un contrôleur Ansible vulnérable.
Ansible est un moteur d'automatisation d'infrastructure informatique open-source. Il automatise le déploiement et la gestion des applications, la gestion de la configuration et l'approvisionnement en infonuagique.
Versions affectées:
Ansible versions 2.1.x antérieures à 2.1.4 RC1
Ansible versions 2.2.x antérieures à 2.2.1 RC3
Reférence CVE : CVE-2016-9587
Mesure suggérée
Le CCRIC recommande que les opérateurs test et installe les correctifs ou procédures de contournement du vendeur qui affecte les plateformes mentionnés.
Références
Ansible Security Advisory:
https://groups.google.com/forum/#!topic/ansible-devel/SyrgcUySAIQ (en anglais)
Security Researcher – Computest Advisory:
https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt (en Anglais)