2020-0135: Ansible: Zwei Schwachstellen ermöglichen das Ausführen beliebiger Befehle
Historie:
- Version 1 (2020-01-21 12:47)
- Neues Advisory
- Version 2 (2020-01-24 10:45)
- Red Hat stellt für Ansible Engine 2, 2.7, 2.8 und 2.9 Sicherheitsupdates bereit, mit denen Ansible auf die jeweils aktuellen Versionen der Versionszweige aktualisiert wird.
Betroffene Software
Systemsoftware
Betroffene Plattformen
Linux
Beschreibung:
Zwei Schwachstellen in Red Hat Ansible in den Versionszweigen 2.7.x vor Version 2.7.16, 2.8.x vor Version 2.8.8 und 2.9.x vor Version 2.9.3 ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausführen beliebiger Befehle.
Für Fedora 30 und 31 sowie Fedora EPEL 7 und 8 stehen Sicherheitsupdates für 'Ansible' in der Version 2.9.3 im Status 'testing' bereit, um die Schwachstellen zu beheben.
Zusätzlich beheben die Sicherheitsupdates für Fedora EPEL 7 und 8 die Schwachstelle CVE-2019-14856, welche wiederum auf der unvollständige Behebung der Schwachstelle CVE-2019-10206 basiert und einem entfernten, einfach authentisierten Angreifer das Ausspähen von Informationen ermöglicht.
Schwachstellen:
CVE-2019-14904
Schwachstelle in Ansible ermöglicht Ausführen beliebiger BefehleCVE-2019-14905
Schwachstelle in Ansible ermöglicht Ausführen beliebiger Befehle
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.