ГлавнаяБаза уязвимостей БДУ → BDU:2019-01543
3.2средняя

BDU:2019-01543 (CVE-2019-3828)

Уязвимость модуля fetch системы управления конфигурациями Ansible, связанная c неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к информации и нарушить ее целостность
Опубликовано: 2019-04-25
Описание

Уязвимость модуля fetch системы управления конфигурациями Ansible связана c неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему локально, получить несанкционированный доступ к информации и нарушить ее целостность путем копирования и перезаписи файлов, находящихся за пределами заданного каталога

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Debian GNU/Linux (9)OpenSUSE Leap (42.3)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)Ubuntu (19.04)Ansible (от 2.5.0 до 2.5.14 включительно)Ansible (от 2.6.0 до 2.6.13 включительно)Ansible (от 2.7.0 до 2.7.7 включительно)OpenSUSE Leap (15.0)OpenSUSE Leap (15.1)Debian GNU/Linux (8)SUSE Package Hub for SUSE Linux Enterprise (12)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)ОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций:
Для Ansible:

Обновление программного обеспечения до 2.7.8 или более поздней версии



Для Debian:

Обновление программного обеспечения (пакета ansible) до 2.2.1.0-2+deb9u1 или более поздней версии

Для Astra Linux:
Обновление программного обеспечения (пакета ansible) до 2.2.1.0-2+deb9u1 или более поздней версии

Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2019-3828/

Для Ubuntu:
https://usn.ubuntu.com/4072-1/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ansible до версии 2.10.7+merged+base+2.10.8+dfsg-1

Оценка CVSS
Балл3.2 — средняя опасность
Источники и патчи
https://bugzilla.redhat.com/show_bug.cgi?id=1676689https://github.com/ansible/ansible/pull/52133https://nvd.nist.gov/vuln/detail/CVE-2019-3828https://security-tracker.debian.org/tracker/CVE-2019-3828https://www.suse.com/security/cve/CVE-2019-3828/https://usn.ubuntu.com/4072-1/https://wiki.astralinux.ru/astra-linux-se16-bulletin-20200327SE16https://wiki.astralinux.ru/astra-linux-se81-bulletin-20200429SE81
Проверьте безопасность своего сайта и почты → Полная проверка домена