форумы  помощь  поиск  регистрация  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
Сообщение от opennews (??) on 12-Янв-17, 11:17
В системе управления конфигурацией Ansible (https://www.ansible.com/)  выявлена (https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt)  уязвимость (CVE-2016-9587 (https://security-tracker.debian.org/tracker/CVE-2016-9587)), позволяющая организовать выполнение команд на стороне управляющего сервера Ansible (Controller) через манипуляции на подчинённых хостах. Например, в случае компрометации одного из клиентских серверов, конфигурация которого настраивается через Ansible, атакующие могут получить доступ к управляющему серверу и через него ко всем остальным управляемым через Ansible хостам сети. Проблема проявляется во всех выпусках Ansible и устранена (http://www.mail-archive.com/ansible-project@googlegroup...) в предварительных выпусках 2.1.4 и 2.2.1, которые пока имеют статус кандидатов в релизы. Исправление также доступно (https://github.com/ansible/ansible/commit/ec84ff6de6eca9224b...) в виде патча. Уязвимость связана с возможностью применения в команде lookup (http://docs.ansible.com/ansible/playbooks_lookups.html) переменной ansible_python_interpreter, позволяющей организовать выполнение кода на стороне управляющего сервера, вернув в ответ на запрос сервера специально оформленный набор атрибутов. Доступен (https://www.computest.nl/advisories/CT-2017-0109_Ansible.txt) рабочий прототип эксплоита. URL: http://www.mail-archive.com/ansible-project@googlegroup... Новость: http://www.opennet.ru/opennews/art.shtml?num=45842
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

2. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
Сообщение от Клыкастый (ok) on 12-Янв-17, 11:19
знойная дырка
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	54. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от Аноним (??) on 13-Янв-17, 07:27
	А говорили питон безопаснее пхп. А оказалось одинаково.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	–2 +/–
Сообщение от anonymous (??) on 12-Янв-17, 12:19
А я ведь точно такую же новость читал совсем недавно. Про crush-report в убунте. На чужих ошибках учиться решительно не желаем!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	27. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от Аноним (??) on 12-Янв-17, 15:29
	Ansible принадлежит RedHat.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+4 +/–
Сообщение от rshadow (ok) on 12-Янв-17, 13:13
На мобильнике эта новость за экран выползла (сижу на mobile.opennet.ru). Поправьте пожалуйста верстку.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	13. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+15 +/–
	Сообщение от Аноним (??) on 12-Янв-17, 13:39
	Единственный комментарий, имеющий отношение к новости -)
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от rshadow (ok) on 12-Янв-17, 13:42
	:-)
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	17. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+6 +/–
	Сообщение от Аноним (??) on 12-Янв-17, 14:01
	У них нет CSS-разработчика и HTML архитектора.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

16. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	–5 +/–
Сообщение от IB on 12-Янв-17, 13:45
Как будто никто не знал что это хипсторский "мега-продукт". Впрочем огород на баше и ССШ будет с большой вероятностью ещё хуже.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	19. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	–2 +/–
	Сообщение от Аноним (??) on 12-Янв-17, 14:41
	> Впрочем огород на баше и ССШ будет с большой вероятностью ещё хуже. Фишка огорода в том что его "автоматическими способами" сложно сломать, т.к. у каждого свой забор. p.s. Даже если у вас левая админка на сайте доступна для всех у кого есть url (admin.site.zone/dgosidhygwut3oihgfwpeoriwpifpfs) то ожидать взлома можно только при индивидуальном подходе.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	23. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+4 +/–
	Сообщение от Crazy Alex (ok) on 12-Янв-17, 14:50
	Это вы здесь за проприетарщину и security by obscurity агитировать пытаетесь?
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	26. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	–2 +/–
	Сообщение от Аноним (??) on 12-Янв-17, 15:00
	> Это вы здесь за проприетарщину и security by obscurity агитировать пытаетесь? Нет просто контр-аргумент :)
	Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

	24. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от rshadow (ok) on 12-Янв-17, 14:50
	А потом окажется что кто-то отправил ссылку по почте в незашифрованном виде, а где то стоит сканер и собирает все урлы *admin*.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	25. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от Аноним (??) on 12-Янв-17, 15:00
	> А потом окажется что кто-то отправил ссылку по почте в незашифрованном виде, > а где то стоит сканер и собирает все урлы *admin*. И? А там нестандартная админка, в ручную всё разбирают?
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	35. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+1 +/–
	Сообщение от www2 (ok) on 12-Янв-17, 17:26
	Всё проще - открыл в хроме и гугль уже запустил по этой ссылке своих ботов для поиска, а дальше весь интернет об этой ссылке знает.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	36. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от Аноним (??) on 12-Янв-17, 17:31
	> Всё проще - открыл в хроме и гугль уже запустил по этой > ссылке своих ботов для поиска, а дальше весь интернет об этой > ссылке знает. Да даже если бы это было правдой, какова вероятность что кто-то зайдёт по ней и что-то сделает ( да ещё и составит такой запрос который её покажет не на 1000-й странице, ведь там столько интересных и уникальных текстов, в самописной админке то?) А даже банальный пароль на уровне apache уже сделает сценарий несанкционированного доступа без инсайда совсем невероятным.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

	47. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от Аноним (??) on 12-Янв-17, 22:45
	Я бы не стал надеяться на то, что кто-то что-то не найдёт хоть на тысячной странице, хоть на десятитысячной. Искать всё равно будут — если будут — не вручную. А боту всё равно сколько страниц, он железный.
	Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

	40. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от Аноним84701 (ok) on 12-Янв-17, 18:56
	> А потом окажется что кто-то отправил ссылку по почте в незашифрованном виде, > а где то стоит сканер и собирает все урлы *admin*. Если по скайпу, то не "где-то" ;) http://www.h-online.com/security/news/item/Skype-with-care-M... > A reader informed heise Security that he had observed some unusual network traffic following a Skype instant messaging conversation ... It turned out that an IP address which traced back to Microsoft had > accessed the HTTPS URLs previously transmitted over Skype. Heise Security then reproduced the events by sending two test HTTPS URLs, one containing login information and one pointing to a private cloud-based file-sharing service. > A few hours after their Skype messages, they observed the following in the server log: > 65.52.100.214 - - [30/Apr/2013:19:28:32 +0200] > "HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1" >  The access is coming from systems which clearly belong to Microsoft. > Source: Utrace They too had received visits to each of the HTTPS URLs transmitted over Skype from an IP > address registered to Microsoft in Redmond.
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	43. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от Ъ on 12-Янв-17, 21:42
	> Даже если у вас левая админка на сайте доступна для всех у кого есть url (admin.site.zone/dgosidhygwut3oihgfwpeoriwpifpfs) то ожидать взлома можно только при индивидуальном подходе. А потом однажды обнаруживается, что подобный суперсекретный путь проиндексировался Google... Знаем, проходили.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	49. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+1 +/–
	Сообщение от Led (ok) on 13-Янв-17, 00:53
	> Впрочем огород на баше и ССШ будет с большой вероятностью ещё хуже. Ну, огороднику виднее...
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	52. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	–1 +/–
	Сообщение от Аноним (??) on 13-Янв-17, 06:37
	> Ну, огороднику виднее... А что, садоводы уже вынесли у себя третий баш, чтобы над огородниками стебаться?
	Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

20. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+1 +/–
Сообщение от csa (??) on 12-Янв-17, 14:48
# ansible --version ansible 2.1.1.0 запускает такую команду: ssh -C -q -o ControlMaster=auto -o ControlPersist=60s \   -o KbdInteractiveAuthentication=no \   -o PreferredAuthentications=gssapi-with-mic,gssapi-keyex,hostbased,publickey \   -o PasswordAuthentication=no -o ConnectTimeout=10 \   -o ControlPath=/home/user/.ansible/cp/ansible-ssh-%h-%p-%r \   -tt \   <hostname> /bin/sh -c '....' -o ForwardAgent=no я там не вижу, а значит как только админ с ForwardAgent=yes в конфиге ssh зайдет на инфицированный хост - все хосты, куда подходит его ключ, будут доступны
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	22. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от csa (??) on 12-Янв-17, 14:50
	хихи, как подсказывают коллеги, и отключить-то не всегда можно, особенно когда нужен git с приватного репа
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	28. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	–3 +/–
	Сообщение от nemo (??) on 12-Янв-17, 15:37
	Админ с ForwardAgent=yes в конфиге ssh -- это либо лентяй, либо суицидальник припадочный. Такие должны погибать.
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

	38. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+5 +/–
	Сообщение от angra (ok) on 12-Янв-17, 18:31
	Либо понимает как это работает, какие потенциальные риски несет и как их избежать. В отличии от дилетанта, который просто где-то прочитал, что ForwardAgent это опасно, но не удосужился понять почему и тупо как обезьянка его отключает.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	42. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от anonymous (??) on 12-Янв-17, 20:53
	> Админ с ForwardAgent=yes в конфиге ssh -- это либо лентяй, либо суицидальник > припадочный. Такие должны погибать. А каким ещё образом можно использовать бастион-хост? Не, ну можно держать запароленные ключи прямо на нём и делать ssh-add, но всё равно в итоге у тебя на хосте открытый сокет, с помощью которого можно соединиться с другими хостами от твоего имени.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	48. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от solardiz (ok) on 12-Янв-17, 23:58
	> А каким ещё образом можно использовать бастион-хост? Вот таким: http://openwall.info/wiki/internal/ssh#How-to-access-intrane...
	Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

	55. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+1 +/–
	Сообщение от Аноним (??) on 13-Янв-17, 10:41
	Это хреновый способ, т.к. надо вручную пробрасывать порты, что довольно геморно и люди на это забьют. Правильный способ, если боишься компрометации бастиона - ProxyJump или ProxyCommand: https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_J...
	Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

	56. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от solardiz (ok) on 14-Янв-17, 23:57
	> Правильный способ, если боишься компрометации бастиона - > ProxyJump или ProxyCommand: https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_J... Спасибо, хорошее описание, особенно начиная с https://en.wikibooks.org/wiki/OpenSSH/Cookbook/Proxies_and_J... (выше этого места описаны и небезопасные способы тоже). Добавил эту ссылку на Openwall wiki.
	Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

	46. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+1 +/–
	Сообщение от Аноним (??) on 12-Янв-17, 22:41
	$ grep -i 'forwardagent.*yes' ~/.ssh/config | wc -l 14 Приезжай в любое время и погибни меня, ламер. Понабирали каких-то попугаев в админы и на опеннет комментировать отправили.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	34. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
	Сообщение от анонимус вульгарис on 12-Янв-17, 17:04
	Багрепорт-то отправил, умник?
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

31. "Серьёзная уязвимость в системе управления конфигурацией Ansi..."	+/–
Сообщение от анонимус вульгарис on 12-Янв-17, 16:22
Эта штука написана таким образом, чтобы интерпретировать всё подряд как код. Чему тут удивляться. Впрочем, это вполне в традициях python way.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема