Ansible: Update soll kritischen Fehler in den 2.x-Versionen beheben
Da die Schwachstelle als hohes Risiko eingestuft wird, haben die Macher Release Candidates der Versionen 2.1.4 und 2.2.1 veröffentlicht, die den Fehler beheben.
Das Ansible-Team hat auf der Projekt-Mailingliste auf die Schwachstelle CVE-2016-9587 hingewiesen, die es als hohes Risiko einstuft. Demnach können Angreifer über ein kompromittiertes, mit Ansible verwaltetes System Befehle auf dem Ansible Controller ausführen.
Abhilfe sollen die Versionen 2.1.4 RC1 beziehungsweise 2.2.1 RC3 schaffen. James Cammarate, Lead Manager des Ansible-Projekts, bittet in der Mail darum, die Release Candidates zu testen, damit das Team so schnell wie möglich die endgültigen Releases veröffentlichen kann. Weitere Details lassen sich der Mail entnehmen. Laut einer weiteren Mail sind die meisten älteren Versionen verwundbar. Ein Post auf der News-Site LWN.net weist jedoch darauf hin, dass Ansible 1.9.x vermutlich nicht betroffen ist. Weitere technische Details stehen auf der Site von Computest, das den Fehler entdeckt hat. Einen Überblick auf die Fixes findet sich im GitHub-Repository.
Automatisierung und Science Fiction
Ansible ist eine in Python programmierte IT-Automatisierungsplattform, die im Bereich Continuous Integration mit Werkzeugen wie Chef und Puppet konkurriert. Michael DeHaan hatte das Open-Source-Werkzeug ins Leben gerufen. Die gleichnamige Firma, die das Projekt vorantreibt, hat Red Hat im Herbst 2015 übernommen. Das Wort "Ansible" stammt ursprünglich aus dem Roman "Rocannons Welt" von Ursula K. LeGuin und hat seinen Weg inzwischen in zahlreiche Science-Fiction-Romane als Bezeichnung für ein Kommunikationsgerät mit Überlichtgeschwindigkeit gefunden.
[Update 12.1. 22:30 Uhr]:
Anscheinend gibt es doch Anzeichen darauf, dass Ansible 1.9 ebenfalls betroffen sein könnte. (rme)
