BDU:2020-02164: Уязвимость системы управления конфигурациями Ansible, связана с раскрытием информации через регистрационные файлы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Описание уязвимости Уязвимость системы управления конфигурациями Ansible связана с раскрытием информации через регистрационные файлы. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации
Вендор Canonical Ltd., ООО «РусБИТех-Астра», Novell Inc., Сообщество свободного программного обеспечения, Red Hat Inc., Ansible, АО "НППКТ"
Наименование ПО Ubuntu, Astra Linux Special Edition (запись в едином реестре российских программ №369), SUSE OpenStack Cloud, Debian GNU/Linux, OpenSUSE Leap, Red Hat Ceph Storage, HPE Helion Openstack, Astra Linux Special Edition для «Эльбрус» (запись в едином реестре российских программ №11156), CloudForms Management Engine, Ansible Engine, Ansible Tower, ОСОН ОСнова Оnyx (запись в едином реестре российских программ №5913)
Версия ПО
  • 16.04 LTS (Ubuntu)
  • 18.04 LTS (Ubuntu)
  • 1.6 «Смоленск» (Astra Linux Special Edition)
  • 7 (SUSE OpenStack Cloud)
  • 8.0 (Debian GNU/Linux)
  • 15.1 (OpenSUSE Leap)
  • 14.04 ESM (Ubuntu)
  • 8 (SUSE OpenStack Cloud)
  • 3 (Red Hat Ceph Storage)
  • 8 (HPE Helion Openstack)
  • 19.10 (Ubuntu)
  • 8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)
  • 2 (Red Hat Ceph Storage)
  • 5 (CloudForms Management Engine)
  • 2.7 for RHEL 7 (Ansible Engine)
  • 2.8 for RHEL 7 (Ansible Engine)
  • 2.8 for RHEL 8 (Ansible Engine)
  • 2 for RHEL 7 (Ansible Engine)
  • 2 for RHEL 8 (Ansible Engine)
  • 3 (Ansible Tower)
  • 1.7 (Astra Linux Special Edition)
  • 4.7 (Astra Linux Special Edition)
  • до 2.1 (ОСОН ОСнова Оnyx)
Тип ПО Операционная система, Прикладное ПО информационных систем, ПО виртуализации/ПО виртуального программно-аппаратного средства, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Неправильная обработка выходных данных для журналов регистрации, Раскрытие информации через регистрационные файлы
Идентификатор типа ошибки
Класс уязвимости Уязвимость кода
Дата выявления 11.10.2019
Базовый вектор уязвимости
Уровень опасности уязвимости Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,5)
Возможные меры по устранению уязвимости
Использование рекомендаций:
Для Ansible:
https://github.com/ansible/ansible/pull/63366

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:3892
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14860

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00021.html
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00026.html

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-14846

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14846.html


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения ansible до версии 2.7.7+dfsg-1+deb10u1
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются
Последние изменения