DFN-CERT

Advisory-Archiv

2020-0812: Ansible: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2020-04-21 19:17)
Neues Advisory
Version 2 (2020-04-23 09:56)
Red Hat stellt die Ansible Versionen 2.7.17, 2.8.11 und 2.9.7 für Red Hat Ansible Engine 2, 2.8 und 2.9 für Red Hat Enterprise Linux 7 und 8 sowie Red Hat Ansible Engine 2.7 für Red Hat Enterprise Linux 7 als Sicherheitsupdates zur Verfügung.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Ansible ermöglichen eine lokalen Angreifer mit üblichen Benutzerrechten das Ausführen beliebigen Programmcodes, das Durchführen von Directory-Traversal- und Denial-of-Service (DoS)-Angriffen, das Eskalieren von Privilegien und das Ausspähen von Informationen. Einige dieser Angriffe erfordern die Interaktion eines Benutzers, um erfolgreich zu sein, und können Einfluss auf weitere Komponenten betroffener Systeme haben.

Für Ansible stehen die Releases 2.7.17, 2.8.11 und 2.9.7 als Sicherheitsupdates zur Verfügung.

Für Fedora 30 und 31 sowie für Fedora EPEL 7 und 8 stehen die Pakete 'ansible-2.9.7-1.fc30', 'ansible-2.9.7-1.fc31', 'ansible-2.9.7-1.el7' und ansible-2.9.7-1.el8' im Status 'testing' als Sicherheitsupdates bereit, um die Schwachstellen zu schließen.

Schwachstellen:

CVE-2020-10684

Schwachstelle in Ansible ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-10685

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-10691

Schwachstelle in Ansible ermöglicht Directory-Traversal-Angriff

CVE-2020-1733

Schwachstelle in Ansible ermöglicht Privilegieneskalation

CVE-2020-1734

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1735

Schwachstelle in Ansible ermöglicht Directory-Traversal-Angriff

CVE-2020-1736

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1737

Schwachstelle in Ansible ermöglicht Directory-Traversal-Angriff

CVE-2020-1738

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1739

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1740

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1746

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1753

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.