Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-00887

Опубликовано: 08 июн. 2018
Источник: fstec
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Описание

Уязвимость системы управления конфигурациями Ansible связана c некорректной обработкой опции no_log, предназначенной для предотвращения логирования задач, в случае, когда задача не была выполнена успешно, что приводит к отображению конфиденциальных данных в журналах событий и на терминале пользователя. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить несанкционированный доступ к информации

Вендор

Сообщество свободного программного обеспечения
Red Hat Inc.

Наименование ПО

Debian GNU/Linux
Ansible

Версия ПО

9 (Debian GNU/Linux)
от 2.4 до 2.4.5 (Ansible)
до 2.5 до 2.5.5 (Ansible)
8 (Debian GNU/Linux)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)

Возможные меры по устранению уязвимости

Для Ansible:
Обновление программного обеспечения до 2.5.5 или более поздней версии
Для Debian:
Обновление программного обеспечения (пакета ansible) до 2.2.1.0-2+deb9u1 или более поздней версии

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 87%
0.03372
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-10855

CVSS3: 5.9
ubuntu
больше 7 лет назад

Ansible 2.5 prior to 2.5.5, and 2.4 prior to 2.4.5, do not honor the no_log task flag for failed tasks. When the no_log flag has been used to protect sensitive data passed to a task from being logged, and that task does not run successfully, Ansible will expose sensitive data in log files and on the terminal of the user running Ansible.

redhat логотип

CVE-2018-10855

CVSS3: 5.9
redhat
больше 7 лет назад

Ansible 2.5 prior to 2.5.5, and 2.4 prior to 2.4.5, do not honor the no_log task flag for failed tasks. When the no_log flag has been used to protect sensitive data passed to a task from being logged, and that task does not run successfully, Ansible will expose sensitive data in log files and on the terminal of the user running Ansible.

nvd логотип

CVE-2018-10855

CVSS3: 5.9
nvd
больше 7 лет назад

Ansible 2.5 prior to 2.5.5, and 2.4 prior to 2.4.5, do not honor the no_log task flag for failed tasks. When the no_log flag has been used to protect sensitive data passed to a task from being logged, and that task does not run successfully, Ansible will expose sensitive data in log files and on the terminal of the user running Ansible.

debian логотип

CVE-2018-10855

CVSS3: 5.9
debian
больше 7 лет назад

Ansible 2.5 prior to 2.5.5, and 2.4 prior to 2.4.5, do not honor the n ...

github логотип

GHSA-jwcc-j78w-j73w

CVSS3: 5.9
github
больше 7 лет назад

Ansible exposes sensitive data in log files and on the terminal

EPSS

Процентиль: 87%
0.03372
Низкий

7.5 High

CVSS3

5 Medium

CVSS2