2020-0474: Ansible: Zwei Schwachstellen ermöglichen u. a. einen Directory-Traversal-Angriff

Historie:

Version 1 (2020-03-09 13:35)

Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

In Ansible existieren zwei Schwachstellen, die es einem lokalen Angreifer mit üblichen Benutzerrechten ermöglichen, einen Directory-Traversal-Angriff durchzuführen und Informationen auszuspähen. Erfolgreiche Angriffe erfordern die Interaktion eines Benutzers, einer der Angriffe kann Einfluss auf andere Komponenten haben.

Für Fedora 30 und 31, sowie für Fedora EPEL 7 und 8 stehen die Pakete 'ansible-2.9.6-1.fc30', 'ansible-2.9.6-1.fc31', 'ansible-2.9.6-1.el7' und ansible-2.9.6-1.el8' im Status 'testing' als Sicherheitsupdates bereit, um die Schwachstellen zu schließen.

Schwachstellen:

CVE-2020-1737

Schwachstelle in Ansible ermöglicht Directory-Traversal-Angriff

CVE-2020-1739

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.