ГлавнаяБаза уязвимостей БДУ → BDU:2020-02164
2.1средняя

BDU:2020-02164 (CVE-2019-14846)

Уязвимость системы управления конфигурациями Ansible, связана с раскрытием информации через регистрационные файлы, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2020-05-19
Описание

Уязвимость системы управления конфигурациями Ansible связана с раскрытием информации через регистрационные файлы. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Ubuntu (16.04 LTS)Ubuntu (18.04 LTS)Astra Linux Special Edition (1.6 «Смоленск»)SUSE OpenStack Cloud (7)OpenSUSE Leap (15.1)Ubuntu (14.04 ESM)SUSE OpenStack Cloud (8)Debian GNU/Linux (8)Red Hat Ceph Storage (3)HPE Helion Openstack (8)Ubuntu (19.10)Astra Linux Special Edition для «Эльбрус» (8.1 «Ленинград»)Red Hat Ceph Storage (2)CloudForms Management Engine (5)Ansible Engine (2.7 for RHEL 7)Ansible Engine (2.8 for RHEL 7)Ansible Engine (2.8 for RHEL 8)Ansible Engine (2 for RHEL 7)Ansible Engine (2 for RHEL 8)Ansible Tower (3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций:
Для Ansible:
https://github.com/ansible/ansible/pull/63366

Для программных продуктов Red Hat Inc.:
https://access.redhat.com/errata/RHSA-2019:3892
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14860

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00021.html
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00026.html

Для Debian:
https://security-tracker.debian.org/tracker/CVE-2019-14846

Для Ubuntu:
https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14846.html


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se81-bulletin-20211019SE81
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения ansible до версии 2.7.7+dfsg-1+deb10u1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ansible до версии 2.2.1.0-2+deb9u3

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл2.1 — средняя опасность
Источники и патчи
https://access.redhat.com/errata/RHSA-2019:3201https://access.redhat.com/errata/RHSA-2019:3202https://access.redhat.com/errata/RHSA-2019:3203https://access.redhat.com/errata/RHSA-2019:3207https://access.redhat.com/errata/RHSA-2020:0756https://access.redhat.com/security/cve/cve-2019-14846https://bugzilla.redhat.com/show_bug.cgi?id=1755373https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14846
Проверьте безопасность своего сайта и почты → Полная проверка домена