BDU:2022-00238: Уязвимость системы управления конфигурациями Ansible, связанная с раскрытием информации, позволяющая нарушителю получить доступ к конфиденциальным данным

Описание уязвимости Уязвимость системы управления конфигурациями Ansible связана с раскрытием информации. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным
Вендор Сообщество свободного программного обеспечения, Red Hat Inc., ООО «РусБИТех-Астра»
Наименование ПО Debian GNU/Linux, Ansible, Ansible Tower, Astra Linux Special Edition (запись в едином реестре российских программ №369)
Версия ПО 8.0 (Debian GNU/Linux), 9.0 (Debian GNU/Linux), 10.0 (Debian GNU/Linux), от 2.7.0 до 2.7.17 (Ansible), от 3.5.0 до 3.5.5 включительно (Ansible Tower), от 3.6.0 до 3.6.3 включительно (Ansible Tower), 1.7 (Astra Linux Special Edition), от 3.3.5 до 3.4.5 включительно (Ansible Tower), от 2.8.0 до 2.8.11 (Ansible), от 2.9.0 до 2.9.7 (Ansible), 4.7 (Astra Linux Special Edition)
Тип ПО Операционная система, Прикладное ПО информационных систем, Сетевое программное средство
Операционные системы и аппаратные платформы
Тип ошибки Раскрытие информации
Идентификатор типа ошибки CWE-200
Класс уязвимости Уязвимость кода
Дата выявления 12.05.2020
Базовый вектор уязвимости
  • CVSS 2.0: AV:L/AC:M/Au:N/C:P/I:N/A:N
  • CVSS 3.0: AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N
Уровень опасности уязвимости Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 1,9) Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5)
Возможные меры по устранению уязвимости
Для Ansible:
использование рекомендаций производителя: https://github.com/ansible/ansible/pull/67866

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-1746

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Статус уязвимости Подтверждена производителем
Наличие эксплойта Данные уточняются
Способ эксплуатации
  • Несанкционированный сбор информации
Способ устранения Обновление программного обеспечения
Информация об устранении Уязвимость устранена
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
Прочая информация Данные уточняются