Ansible-core 2.16 移植指南
本节讨论 ansible-core 2.15 和 ansible-core 2.16 之间的行为变化。
旨在帮助您更新 Playbook、插件和 Ansible 基础设施的其他部分,以便它们能够在此版本的 Ansible 上运行。
我们建议您阅读此页面以及 ansible-core 2.16 的变更日志,以了解您可能需要进行的更新。
本文档是关于移植的集合的一部分。完整的移植指南列表可以在 移植指南 中找到。
Playbook
条件 - 由于在 ansible-core 2.16.1 中缓解了安全问题 CVE-2023-5764,当嵌入的模板从不受信任的来源(如模块结果或标记为
!unsafe的变量)中获取数据时,带有嵌入模板块的条件表达式可能会失败,并显示消息 “Conditional is marked as unsafe, and cannot be evaluated.”。当引用不受信任的数据时,带有嵌入模板的条件可能是恶意模板注入的来源,并且几乎总可以在不使用嵌入模板的情况下重写。诸如when和until等 Playbook 任务条件关键字长期以来都显示警告,不鼓励在条件中使用嵌入模板;此警告已扩展到非任务条件,例如assert操作。- name: task with a module result (always untrusted by Ansible) shell: echo "hi mom" register: untrusted_result # don't do it this way... # - name: insecure conditional with embedded template consulting untrusted data # assert: # that: '"hi mom" is in {{ untrusted_result.stdout }}' - name: securely access untrusted values directly as Jinja variables instead assert: that: '"hi mom" is in untrusted_result.stdout'