BDU:2019-01543

Опубликовано: 12 фев. 2019

Источник: fstec

CVSS3: 4.2

CVSS2: 3.2

EPSS Низкий

Описание

Уязвимость модуля fetch системы управления конфигурациями Ansible связана c неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему локально, получить несанкционированный доступ к информации и нарушить ее целостность путем копирования и перезаписи файлов, находящихся за пределами заданного каталога

Вендор

Canonical Ltd.

Сообщество свободного программного обеспечения

Novell Inc.

ООО «РусБИТех-Астра»

Red Hat Inc.

АО "НППКТ"

Наименование ПО

Ubuntu

Debian GNU/Linux

OpenSUSE Leap

Astra Linux Special Edition

Ansible

SUSE Package Hub for SUSE Linux Enterprise

Astra Linux Special Edition для «Эльбрус»

ОСОН ОСнова Оnyx

Версия ПО

16.04 LTS (Ubuntu)

9 (Debian GNU/Linux)

42.3 (OpenSUSE Leap)

18.04 LTS (Ubuntu)

1.6 «Смоленск» (Astra Linux Special Edition)

19.04 (Ubuntu)

от 2.5.0 до 2.5.14 включительно (Ansible)

от 2.6.0 до 2.6.13 включительно (Ansible)

от 2.7.0 до 2.7.7 включительно (Ansible)

15.0 (OpenSUSE Leap)

15.1 (OpenSUSE Leap)

8 (Debian GNU/Linux)

12 (SUSE Package Hub for SUSE Linux Enterprise)

8.1 «Ленинград» (Astra Linux Special Edition для «Эльбрус»)

до 2.8 (ОСОН ОСнова Оnyx)

Тип ПО

Операционная система

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Canonical Ltd. Ubuntu 16.04 LTS

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Novell Inc. OpenSUSE Leap 42.3

Canonical Ltd. Ubuntu 18.04 LTS

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»

Canonical Ltd. Ubuntu 19.04

Novell Inc. OpenSUSE Leap 15.0

Novell Inc. OpenSUSE Leap 15.1

Сообщество свободного программного обеспечения Debian GNU/Linux 8

ООО «РусБИТех-Астра» Astra Linux Special Edition для «Эльбрус» 8.1 «Ленинград»

АО "НППКТ" ОСОН ОСнова Оnyx до 2.8

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,2)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,6)

Возможные меры по устранению уязвимости

Использование рекомендаций:

Для Ansible:

Обновление программного обеспечения до 2.7.8 или более поздней версии

Для Debian:

Обновление программного обеспечения (пакета ansible) до 2.2.1.0-2+deb9u1 или более поздней версии

Для Astra Linux:

Обновление программного обеспечения (пакета ansible) до 2.2.1.0-2+deb9u1 или более поздней версии

Для программных продуктов Novell Inc.:

https://www.suse.com/security/cve/CVE-2019-3828/

Для Ubuntu:

https://usn.ubuntu.com/4072-1/

Для ОСОН ОСнова Оnyx:

Обновление программного обеспечения ansible до версии 2.10.7+merged+base+2.10.8+dfsg-1

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2019-3828
CVE

EPSS

Процентиль: 8%

0.0003

Низкий

4.2 Medium

CVSS3

3.2 Low

CVSS2

Связанные уязвимости

CVE-2019-3828

CVSS3: 4.2

ubuntu

почти 7 лет назад

Ansible fetch module before versions 2.5.15, 2.6.14, 2.7.8 has a path traversal vulnerability which allows copying and overwriting files outside of the specified destination in the local ansible controller host, by not restricting an absolute path.

CVE-2019-3828

CVSS3: 4.2

redhat

почти 7 лет назад

CVE-2019-3828

CVSS3: 4.2

nvd

почти 7 лет назад

CVE-2019-3828

CVSS3: 4.2

debian

почти 7 лет назад

Ansible fetch module before versions 2.5.15, 2.6.14, 2.7.8 has a path ...

GHSA-74vq-h4q8-x6jv

CVSS3: 4.2

github

почти 7 лет назад

Ansible Path Traversal vulnerability

EPSS

Процентиль: 8%

0.0003

Низкий

4.2 Medium

CVSS3

3.2 Low

CVSS2