Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-09010

Опубликовано: 13 сент. 2024
Источник: fstec
CVSS3: 5.5
CVSS2: 4.6
EPSS Низкий

Описание

Уязвимость системы управления конфигурациями Ansible связана с раскрытием информации через файлы журналов. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
Red Hat Inc.
Ansible

Наименование ПО

OpenSUSE Leap
openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
Red Hat Enterprise Linux AI
Red Hat Enterprise Linux
Ansible Engine
Ansible Automation Platform Execution Environments
Discovery
Ansible Automation Platform

Версия ПО

15.5 (OpenSUSE Leap)
- (openSUSE Tumbleweed)
15.3 (OpenSUSE Leap)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
15.4 (OpenSUSE Leap)
15.6 (OpenSUSE Leap)
- (Red Hat Enterprise Linux AI)
10 (Red Hat Enterprise Linux)
до 2.16.13 (Ansible Engine)
от 2.17.0b1 до 2.17.6 (Ansible Engine)
- (Ansible Automation Platform Execution Environments)
1 for RHEL 9 (Discovery)
2.4 for RHEL 8 (Ansible Automation Platform)
2.4 for RHEL 9 (Ansible Automation Platform)
2.5 for RHEL 8 (Ansible Automation Platform)
2.5 for RHEL 9 (Ansible Automation Platform)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. OpenSUSE Leap 15.5
Novell Inc. openSUSE Tumbleweed -
Novell Inc. OpenSUSE Leap 15.3
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. OpenSUSE Leap 15.4
Novell Inc. OpenSUSE Leap 15.6
Red Hat Inc. Red Hat Enterprise Linux AI -
Red Hat Inc. Red Hat Enterprise Linux 10

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,5)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Ansible:
https://access.redhat.com/errata/RHSA-2024:10762
https://access.redhat.com/errata/RHSA-2024:8969
https://access.redhat.com/errata/RHSA-2024:9894
https://access.redhat.com/errata/RHSA-2025:1249
https://access.redhat.com/security/cve/CVE-2024-8775
https://bugzilla.redhat.com/show_bug.cgi?id=2312119
https://github.com/advisories/GHSA-jpxc-vmjf-9fcj
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2024-8775
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2024-8775
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2024-8775.html

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00027
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-8775

CVSS3: 5.5
ubuntu
11 месяцев назад

A flaw was found in Ansible, where sensitive information stored in Ansible Vault files can be exposed in plaintext during the execution of a playbook. This occurs when using tasks such as include_vars to load vaulted variables without setting the no_log: true parameter, resulting in sensitive data being printed in the playbook output or logs. This can lead to the unintentional disclosure of secrets like passwords or API keys, compromising security and potentially allowing unauthorized access or actions.

redhat логотип

CVE-2024-8775

CVSS3: 5.5
redhat
11 месяцев назад

A flaw was found in Ansible, where sensitive information stored in Ansible Vault files can be exposed in plaintext during the execution of a playbook. This occurs when using tasks such as include_vars to load vaulted variables without setting the no_log: true parameter, resulting in sensitive data being printed in the playbook output or logs. This can lead to the unintentional disclosure of secrets like passwords or API keys, compromising security and potentially allowing unauthorized access or actions.

nvd логотип

CVE-2024-8775

CVSS3: 5.5
nvd
11 месяцев назад

A flaw was found in Ansible, where sensitive information stored in Ansible Vault files can be exposed in plaintext during the execution of a playbook. This occurs when using tasks such as include_vars to load vaulted variables without setting the no_log: true parameter, resulting in sensitive data being printed in the playbook output or logs. This can lead to the unintentional disclosure of secrets like passwords or API keys, compromising security and potentially allowing unauthorized access or actions.

msrc логотип

CVE-2024-8775

CVSS3: 5.5
msrc
около 1 месяца назад

Описание отсутствует

debian логотип

CVE-2024-8775

CVSS3: 5.5
debian
11 месяцев назад

A flaw was found in Ansible, where sensitive information stored in Ans ...

EPSS

Процентиль: 6%
0.00027
Низкий

5.5 Medium

CVSS3

4.6 Medium

CVSS2