Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-02914

Опубликовано: 08 мая 2017
Источник: fstec
CVSS3: 7.3
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость системы управления конфигурациями Ansible связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ООО «РусБИТех-Астра»
Red Hat Inc.
АО «Концерн ВНИИНС»

Наименование ПО

OpenSUSE Leap
Debian GNU/Linux
Astra Linux Special Edition
SUSE OpenStack Cloud
Astra Linux Common Edition
SUSE Package Hub for SUSE Linux Enterprise
Red Hat OpenStack Platform
Ansible
Red Hat Gluster Storage
OpenShift Container Platform
Red Hat Quickstart Cloud Installer
Red Hat Storage Console
ОС ОН «Стрелец»

Версия ПО

42.2 (OpenSUSE Leap)
9 (Debian GNU/Linux)
42.3 (OpenSUSE Leap)
1.6 «Смоленск» (Astra Linux Special Edition)
7 (SUSE OpenStack Cloud)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
12 (SUSE Package Hub for SUSE Linux Enterprise)
10.0 (Newton) (Red Hat OpenStack Platform)
до 2.3.1.0 (Ansible)
3.2 for RHEL 7 (Red Hat Gluster Storage)
3.2 (OpenShift Container Platform)
3.3 (OpenShift Container Platform)
3.4 (OpenShift Container Platform)
3.5 (OpenShift Container Platform)
11.0 (Ocata) (Red Hat OpenStack Platform)
1 (Red Hat Quickstart Cloud Installer)
2 (Red Hat Storage Console)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО программно-аппаратного средства

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9
Novell Inc. OpenSUSE Leap 42.2
Novell Inc. OpenSUSE Leap 42.3
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2017-7481/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2017-7481
Для Ansible:
https://github.com/ansible/ansible/commit/ed56f51f185a1ffd7ea57130d260098686fcc7c2
Для Debian:
https://security-tracker.debian.org/tracker/CVE-2017-7481
Для Astra Linux:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
Для ОС ОН «Стрелец»:
Обновление программного обеспечения ansible до версии 2.2.1.0-2+deb9u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 83%
0.01923
Низкий

7.3 High

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-7481

CVSS3: 9.8
ubuntu
больше 7 лет назад

Ansible before versions 2.3.1.0 and 2.4.0.0 fails to properly mark lookup-plugin results as unsafe. If an attacker could control the results of lookup() calls, they could inject Unicode strings to be parsed by the jinja2 templating system, resulting in code execution. By default, the jinja2 templating language is now marked as 'unsafe' and is not evaluated.

redhat логотип

CVE-2017-7481

CVSS3: 5.3
redhat
больше 8 лет назад

Ansible before versions 2.3.1.0 and 2.4.0.0 fails to properly mark lookup-plugin results as unsafe. If an attacker could control the results of lookup() calls, they could inject Unicode strings to be parsed by the jinja2 templating system, resulting in code execution. By default, the jinja2 templating language is now marked as 'unsafe' and is not evaluated.

nvd логотип

CVE-2017-7481

CVSS3: 9.8
nvd
больше 7 лет назад

Ansible before versions 2.3.1.0 and 2.4.0.0 fails to properly mark lookup-plugin results as unsafe. If an attacker could control the results of lookup() calls, they could inject Unicode strings to be parsed by the jinja2 templating system, resulting in code execution. By default, the jinja2 templating language is now marked as 'unsafe' and is not evaluated.

debian логотип

CVE-2017-7481

CVSS3: 9.8
debian
больше 7 лет назад

Ansible before versions 2.3.1.0 and 2.4.0.0 fails to properly mark loo ...

github логотип

GHSA-w578-j992-554x

CVSS3: 9.8
github
больше 7 лет назад

Ansible fails to properly mark lookup-plugin results as unsafe

EPSS

Процентиль: 83%
0.01923
Низкий

7.3 High

CVSS3

7.5 High

CVSS2