Inicio / Alerta Temprana / Avisos Seguridad / Ejecución de código en Ansible Vault

Ejecución de código en Ansible Vault

Fecha de publicación: 
15/09/2017
Importancia: 
4 - Alta
Recursos afectados: 

Ansible Vault 1.0

Descripción: 

Se ha encontrado una vulnerabilidad en Ansible Vault que permite a un atacante remoto no autenticado ejecutar código en el sistema afectado.

Solución: 

Actualizar a Ansible Vault 1.0.5 en el siguiente enlace.

Detalle: 

Debido a una incorrecta validación de archivos YAML, un atacante puede enviar un vault manipulado que contenga código Python, consiguiendo la ejecución del mismo en el sistema. Notar que el atacante debe tener acceso a la red interna donde resida el sistema afectado.

Se ha asignado el identificador CVE-2017-2809 a esta vulnerabilidad.