Ansible 2.9.9 捆绑高危 PyYAML 漏洞，21 个安全缺陷威胁 IT 自动化系统

一个严重的安全警报正指向广泛使用的 IT 自动化工具 Ansible。其 2.9.9 版本的核心依赖库 PyYAML 被发现存在一个 CVSS 评分高达 9.8 的严重漏洞（CVE-2020-14343），使得整个 Ansible 发行包面临高风险。该漏洞允许攻击者通过特制的 YAML 内容执行任意代码，直接威胁到依赖 Ansible 进行配置管理和部署的数以万计的企业服务器与云基础设施。

此次安全扫描在 `ansible-2.9.9.tar.gz` 包中总计识别出 21 个安全漏洞，其中 CVE-2020-14343 是最高危的一个。该漏洞存在于直接依赖的 `PyYAML-5.3.1.tar.gz` 库中，属于“直接”依赖类型，意味着漏洞代码被直接打包进了 Ansible 的发行版本。尽管该漏洞在 PyYAML 的 5.4 版本中已得到修复，但 Ansible 2.9.9 仍在使用存在缺陷的旧版本，将风险传递给了所有下游用户。

对于全球的 DevOps 团队和系统管理员而言，这是一个迫在眉睫的供应链安全威胁。Ansible 作为自动化运维的基石，一旦被利用，攻击者可能获得对目标系统的完全控制权。虽然修复版本（PyYAML >=5.4）已存在，但需要用户主动升级其环境中的依赖。所有仍在运行 Ansible 2.9.9 或使用其打包依赖的环境应立即评估风险，并优先应用安全更新，以防止潜在的供应链攻击入侵关键 IT 资产。