В системе управления конфигурацией Ansible (https://www.ansible.com/)  выявлена (https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt)  уязвимость (CVE-2016-9587 (https://security-tracker.debian.org/tracker/CVE-2016-9587)), позволяющая организовать выполнение команд на стороне управляющего сервера Ansible (Controller) через манипуляции на подчинённых хостах. Например, в случае компрометации одного из клиентских серверов, конфигурация которого настраивается через Ansible, атакующие могут получить доступ к управляющему серверу и через него ко всем остальным управляемым через Ansible хостам сети.

Проблема проявляется во всех выпусках Ansible и устранена (http://www.mail-archive.com/ansible-project@googlegroup...) в предварительных выпусках 2.1.4 и 2.2.1, которые пока имеют статус кандидатов в релизы. Исправление также доступно (https://github.com/ansible/ansible/commit/ec84ff6de6eca9224b...) в виде патча. Уязвимость связана с возможностью применения в команде lookup (http://docs.ansible.com/ansible/playbooks_lookups.html) переменной ansible_python_interpreter, позволяющей организовать выполнение кода на стороне управляющего сервера, вернув в ответ на запрос сервера специально оформленный набор атрибутов.

Доступен (https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt) рабочий прототип эксплоита.

URL: http://www.mail-archive.com/ansible-project@googlegroup...
Новость: http://www.opennet.me/opennews/art.shtml?num=45842