Уязвимость в системе управления конфигурацией Ansible
В системе управления конфигурацией Ansible выявлена уязвимость (CVE-2016-9587), позволяющая организовать выполнение команд на стороне управляющего сервера Ansible через манипуляции на подчиненных хостах. Например, в случае компрометации одного из клиентских серверов, конфигурация которого настраивается через Ansible, атакующие могут получить доступ к управляющему серверу и через него ко всем остальным хостам сети.
Проблема проявляется во всех выпусках Ansible и устранена в предварительных выпусках 2.1.4 и 2.2.1, которые пока имеют статус кандидатов в релизы. Исправление также доступно в виде патча. Уязвимость связана с возможностью применения в команде lookup переменной ansible_python_interpreter, позволяющей организовать выполнение кода на стороне сервера. Доступен рабочий прототип эксплоита.
