ГлавнаяБаза уязвимостей БДУ → BDU:2020-03324
6.8средняя

BDU:2020-03324 (CVE-2019-14864)

Уязвимость модулей Splunk и Sumologic системы управления конфигурациями Ansible, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2020-07-15
Описание

Уязвимость модулей Splunk и Sumologic системы управления конфигурациями Ansible связана с отсутсвием учитывания флага «no_log». Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
Red Hat Enterprise Linux (6.0)Red Hat Enterprise Linux (7.0)Red Hat Enterprise Linux (8.0)OpenSUSE Leap (15.1)Red Hat Ceph Storage (3)CloudForms Management Engine (5)Ansible Tower (3)Ansible (от 2.7.0 до 2.7.15)Ansible (от 2.8.0 до 2.8.7)Ansible (от 2.9.0 до 2.9.1)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Альт 8 СПОСОН ОСнова Оnyx (до 2.1)Astra Linux Common Edition (1.6 «Смоленск»)
Способ устранения

Использование рекомендаций:
Для программных продуктов Red Hat Inc.:
https://github.com/ansible/ansible/issues/63522
https://github.com/ansible/ansible/pull/63527

Для программных продуктов Novell Inc.:
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00021.html
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00026.html

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения ansible до версии 2.7.7+dfsg-1+deb10u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Для ОС Astra Linux:
обновить пакет ansible до 2.7.7+dfsg-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Оценка CVSS
Балл6.8 — средняя опасность
Источники и патчи
https://github.com/ansible/ansible/issues/63522https://github.com/ansible/ansible/pull/63527http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00021.htmlhttp://lists.opensuse.org/opensuse-security-announce/2020-04/msg00026.htmlhttps://access.redhat.com/security/cve/cve-2019-14864https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14864https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
Проверьте безопасность своего сайта и почты → Полная проверка домена