ГлавнаяБаза уязвимостей БДУ → BDU:2020-05829
3.6средняя

BDU:2020-05829 (CVE-2020-10684)

Уязвимость системы управления конфигурациями Ansible, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
Опубликовано: 2020-12-24
Описание

Уязвимость системы управления конфигурациями Ansible связана с ошибками синхронизации при использовании общего ресурса. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии и выполнить произвольный код

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.6 «Смоленск»)Fedora (30)Red Hat OpenStack Platform (10.0)Red Hat OpenStack Platform (13.0)Fedora (31)Fedora (32)Ansible (от 2.7.0 до 2.7.17)Ansible (от 2.8.0 до 2.8.9)Ansible (от 2.9.0 до 2.9.6)Ansible Tower (до 3.3.5 включительно)Ansible Tower (от 3.5.0 до 3.5.5 включительно)Ansible Tower (от 3.6.0 до 3.6.3 включительно)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)ОСОН ОСнова Оnyx (до 2.1)ОС ОН «Стрелец» (до 16.01.2023)
Способ устранения

Использование рекомендаций производителя:
Для Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2020-10684

Для Fedora Project:
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DKPA4KC3OJSUFASUYMG66HKJE7ADNGFW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MRRYUU5ZBLPBXCYG6CFP35D64NP2UB2S/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WQVOQD4VAIXXTVQAJKTN7NUGTJFE2PCB/


Для Astra Linux:

Использование рекомендаций производителя:
https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210730SE16
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения ansible до версии 2.7.7+dfsg-1+deb10u1

Для ОС ОН «Стрелец»:
Обновление программного обеспечения ansible до версии 2.2.1.0-2+deb9u3

Оценка CVSS
Балл3.6 — средняя опасность
Источники и патчи
https://access.redhat.com/security/cve/cve-2020-10684https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-10684https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/DKPA4KC3OJSUFASUYMG66HKJE7ADNGFW/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MRRYUU5ZBLPBXCYG6CFP35D64NP2UB2S/https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/WQVOQD4VAIXXTVQAJKTN7NUGTJFE2PCB/https://nvd.nist.gov/vuln/detail/CVE-2020-10684https://security-tracker.debian.org/tracker/CVE-2020-10684https://wiki.astralinux.ru/astra-linux-se16-bulletin-20210611SE16
Проверьте безопасность своего сайта и почты → Полная проверка домена