BDU:2022-00283

Опубликовано: 16 мар. 2020

Источник: fstec

CVSS3: 4.6

CVSS2: 3.6

EPSS Низкий

Описание

Уязвимость модуля fetch системы управления конфигурациями Ansible связана с недостатками ограничения имени пути к каталогу. Эксплуатация уязвимости может позволить нарушителю получить доступ к конфиденциальным данным и нарушить их целостность

Вендор

Сообщество свободного программного обеспечения

Red Hat Inc.

ООО «РусБИТех-Астра»

АО «ИВК»

АО "НППКТ"

Наименование ПО

Debian GNU/Linux

Ansible Tower

Ansible

Astra Linux Special Edition

Альт 8 СП

ОСОН ОСнова Оnyx

Astra Linux Common Edition

Версия ПО

9 (Debian GNU/Linux)

8 (Debian GNU/Linux)

10 (Debian GNU/Linux)

от 3.5.0 до 3.5.5 включительно (Ansible Tower)

от 3.6.0 до 3.6.3 включительно (Ansible Tower)

до 2.7.16 включительно (Ansible)

1.7 (Astra Linux Special Edition)

до 3.3.4 включительно (Ansible Tower)

от 3.3.5 до 3.4.5 включительно (Ansible Tower)

от 2.8.0 до 2.8.8 включительно (Ansible)

от 2.9.0 до 2.9.5 включительно (Ansible)

4.7 (Astra Linux Special Edition)

- (Альт 8 СП)

до 2.1 (ОСОН ОСнова Оnyx)

1.6 «Смоленск» (Astra Linux Common Edition)

Тип ПО

Операционная система

Сетевое программное средство

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 9

Сообщество свободного программного обеспечения Debian GNU/Linux 8

Сообщество свободного программного обеспечения Debian GNU/Linux 10

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7

АО «ИВК» Альт 8 СП -

ООО «РусБИТех-Астра» Astra Linux Common Edition 1.6 «Смоленск»

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)

Низкий уровень опасности (базовая оценка CVSS 3.0 составляет 3,9)

Возможные меры по устранению уязвимости

Для Ansible:

использование рекомендаций производителя: https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1735

Для Debian:

использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-1735

Для Astra Linux:

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17

использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:

Обновление программного обеспечения ansible до версии 2.7.7+dfsg-1+deb10u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:

обновить пакет ansible до 2.7.7+dfsg-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2020-1735
CVE

EPSS

Процентиль: 36%

0.00155

Низкий

4.6 Medium

CVSS3

3.6 Low

CVSS2

Связанные уязвимости

CVE-2020-1735

CVSS3: 4.2

ubuntu

почти 6 лет назад

A flaw was found in the Ansible Engine when the fetch module is used. An attacker could intercept the module, inject a new path, and then choose a new destination path on the controller node. All versions in 2.7.x, 2.8.x and 2.9.x branches are believed to be vulnerable.

CVE-2020-1735

CVSS3: 4.2

redhat

почти 6 лет назад

CVE-2020-1735

CVSS3: 4.2

nvd

почти 6 лет назад

CVE-2020-1735

CVSS3: 4.2

debian

почти 6 лет назад

A flaw was found in the Ansible Engine when the fetch module is used. ...

GHSA-gfr2-qpxh-qj9m

CVSS3: 4.6

github

почти 5 лет назад

Path Traversal in Ansible

EPSS

Процентиль: 36%

0.00155

Низкий

4.6 Medium

CVSS3

3.6 Low

CVSS2