ГлавнаяБаза уязвимостей БДУ → BDU:2020-05681
7.2высокая

BDU:2020-05681 (CVE-2020-1737)

Уязвимость модуля win_unzip системы управления конфигурациями Ansible, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации
Опубликовано: 2020-12-18
Описание

Уязвимость модуля win_unzip системы управления конфигурациями Ansible связана с неверным ограничением имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Затрагиваемое ПО и версии
Ansible Tower (до 3.3.5)Fedora (30)Fedora (31)Fedora (32)Ansible (от 2.7.0 до 2.7.17)Ansible (от 2.8.0 до 2.8.9)Ansible (от 2.9.0 до 2.9.6)Ansible Tower (от 3.5.0 до 3.5.5 включительно)Ansible Tower (от 3.6.0 до 3.6.3 включительно)Ansible Tower (от 3.4.0 до 3.4.5 включительно)Альт 8 СПОСОН ОСнова Оnyx (до 2.8)
Способ устранения

Использование рекомендаций производителя:
Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-1737

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FWDK3QUVBULS3Q3PQTGEKUQYPSNOU5M3/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QT27K5ZRGDPCH7GT3DRI3LO4IVDVQUB7/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U3IMV3XEIUXL6S4KPLYYM4TVJQ2VNEP2/

Для ОСОН ОСнова Оnyx:
Обновление программного обеспечения ansible до версии 2.10.7+merged+base+2.10.8+dfsg-1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства

Оценка CVSS
Балл7.2 — высокая опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-1737https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/FWDK3QUVBULS3Q3PQTGEKUQYPSNOU5M3/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/QT27K5ZRGDPCH7GT3DRI3LO4IVDVQUB7/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/U3IMV3XEIUXL6S4KPLYYM4TVJQ2VNEP2/https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.8/https://altsp.su/obnovleniya-bezopasnosti/
Проверьте безопасность своего сайта и почты → Полная проверка домена