Mise-à-jour de sécurité Ansible

Numéro : AV17-005
Date : Le 11 janvier 2017

Objet

L'objectif de cet avis est d'attirer l'attention sur une mise-à-jour de sécurité pour Ansible.

Évaluation

Des mises à jour de sécurité ont été publiées pour Ansible pour répondre à une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. (élevée). L'exploitation de cette vulnérabilité pourrait permettre à un attaquant malveillant d'exécuter des commandes sur le contrôleur Ansible associé à un hôte. Cette capacité pourrait être utilisée pour compromettre les autres hôtes gérés par un contrôleur Ansible vulnérable.

Ansible est un moteur d'automatisation d'infrastructure informatique open-source. Il automatise le déploiement et la gestion des applications, la gestion de la configuration et l'approvisionnement en infonuagique InfonuagiqueRecours à des serveurs distants hébergés dans Internet. L'infonuagique permet à des utilisateurs d'accéder à un ensemble de ressources informatiques (réseaux, serveurs, applications, services) sur demande pour peu qu'ils disposent d'un accès à Internet. Les utilisateurs parviennent à ces ressources par l'intermédiaire d'un réseau informatique plutôt que d'avoir à les stocker toutes sur leur propre ordinateur.  .

Versions affectées:
Ansible versions 2.1.x antérieures à 2.1.4 RC1
Ansible versions 2.2.x antérieures à 2.2.1 RC3

Reférence CVE : CVE-2016-9587

Mesure suggérée

Le CCRIC recommande que les opérateurs test et installe les correctifs ou procédures de contournement du vendeur qui affecte les plateformes mentionnés.

Références

Ansible Security Advisory:
https://groups.google.com/forum/#!topic/ansible-devel/SyrgcUySAIQ (en anglais)

Security Researcher – Computest Advisory:
https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt (en Anglais)