Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2020-05829

Опубликовано: 24 мар. 2020
Источник: fstec
CVSS2: 3.6
EPSS Низкий

Описание

Уязвимость системы управления конфигурациями Ansible связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии и выполнить произвольный код

Вендор

ООО «РусБИТех-Астра»
Fedora Project
Red Hat Inc.
АО "НППКТ"
АО «Концерн ВНИИНС»

Наименование ПО

Astra Linux Special Edition
Fedora
Red Hat OpenStack Platform
Ansible
Ansible Tower
ОСОН ОСнова Оnyx
ОС ОН «Стрелец»

Версия ПО

1.6 «Смоленск» (Astra Linux Special Edition)
30 (Fedora)
10.0 (Red Hat OpenStack Platform)
13.0 (Red Hat OpenStack Platform)
31 (Fedora)
32 (Fedora)
от 2.7.0 до 2.7.17 (Ansible)
от 2.8.0 до 2.8.9 (Ansible)
от 2.9.0 до 2.9.6 (Ansible)
до 3.3.5 включительно (Ansible Tower)
от 3.5.0 до 3.5.5 включительно (Ansible Tower)
от 3.6.0 до 3.6.3 включительно (Ansible Tower)
1.7 (Astra Linux Special Edition)
4.7 (Astra Linux Special Edition)
до 2.1 (ОСОН ОСнова Оnyx)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
ПО программно-аппаратного средства
Прикладное ПО информационных систем
Сетевое программное средство

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.6 «Смоленск»
Fedora Project Fedora 30
Fedora Project Fedora 31
Fedora Project Fedora 32
ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7
ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-10684
Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DKPA4KC3OJSUFASUYMG66HKJE7ADNGFW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MRRYUU5ZBLPBXCYG6CFP35D64NP2UB2S/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WQVOQD4VAIXXTVQAJKTN7NUGTJFE2PCB/
Для Astra Linux:
Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Для ОСОН Основа:
Обновление программного обеспечения ansible до версии 2.7.7+dfsg-1+deb10u1
Для ОС ОН «Стрелец»:
Обновление программного обеспечения ansible до версии 2.2.1.0-2+deb9u3

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00024
Низкий

3.6 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2020-10684

CVSS3: 7.9
ubuntu
почти 6 лет назад

A flaw was found in Ansible Engine, all versions 2.7.x, 2.8.x and 2.9.x prior to 2.7.17, 2.8.9 and 2.9.6 respectively, when using ansible_facts as a subkey of itself and promoting it to a variable when inject is enabled, overwriting the ansible_facts after the clean. An attacker could take advantage of this by altering the ansible_facts, such as ansible_hosts, users and any other key data which would lead into privilege escalation or code injection.

redhat логотип

CVE-2020-10684

CVSS3: 7.9
redhat
почти 6 лет назад

A flaw was found in Ansible Engine, all versions 2.7.x, 2.8.x and 2.9.x prior to 2.7.17, 2.8.9 and 2.9.6 respectively, when using ansible_facts as a subkey of itself and promoting it to a variable when inject is enabled, overwriting the ansible_facts after the clean. An attacker could take advantage of this by altering the ansible_facts, such as ansible_hosts, users and any other key data which would lead into privilege escalation or code injection.

nvd логотип

CVE-2020-10684

CVSS3: 7.9
nvd
почти 6 лет назад

A flaw was found in Ansible Engine, all versions 2.7.x, 2.8.x and 2.9.x prior to 2.7.17, 2.8.9 and 2.9.6 respectively, when using ansible_facts as a subkey of itself and promoting it to a variable when inject is enabled, overwriting the ansible_facts after the clean. An attacker could take advantage of this by altering the ansible_facts, such as ansible_hosts, users and any other key data which would lead into privilege escalation or code injection.

debian логотип

CVE-2020-10684

CVSS3: 7.9
debian
почти 6 лет назад

A flaw was found in Ansible Engine, all versions 2.7.x, 2.8.x and 2.9. ...

github логотип

GHSA-p62g-jhg6-v3rq

CVSS3: 7.1
github
почти 5 лет назад

Code Injection, Race Condition, and Execution with Unnecessary Privileges in Ansible

EPSS

Процентиль: 6%
0.00024
Низкий

3.6 Low

CVSS2