1. Ansible 2.9.9 捆绑 PyYAML 库曝出 21 项漏洞,包含 CVSS 9.8 分关键缺陷
红帽旗下核心自动化工具 Ansible 的一个旧版本被发现捆绑了存在严重安全缺陷的依赖库,为大规模企业 IT 基础设施引入了高风险。安全扫描显示,Ansible 2.9.9 的发行包 `ansible-2.9.9.tar.gz` 内嵌的 `PyYAML-5.3.1.tar.gz` 库存在 21 项安全漏洞,其中最高严重性评分为 CVSS 9.8 分,被归类为“关键”级别。该漏洞(CVE-2020-14343)的利用可能性评分(EPSS)为 14.0%,表明存在切实的利用风险。 问题根源在于 Ansible 2.9.9 版本依赖的 PyYAML 5.3.1 库是一个已知存在漏洞的“直接”依赖项。Ansible 作为广泛用于服务器配置...