DFN-CERT

Advisory-Archiv

2021-1679: Ansible: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2021-08-09 15:25)
Neues Advisory

Betroffene Software

Systemsoftware

Betroffene Plattformen

Linux

Beschreibung:

Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Informationen auszuspähen und Dateien zu manipulieren. Mehrere weitere Schwachstellen können lokal ausgenutzt werden, um durch Ausnutzung einer Pfadtraversierung (Path Traversal) den Zielpfad eines Moduls zu verändern, einen Denial-of-Service (DoS)-Angriff durchzuführen, Informationen auszuspähen, Privilegien zu eskalieren und beliebigen Programmcode auszuführen.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers und die erfolgreiche Ausnutzung mehrerer Schwachstellen kann Einfluss auf andere Komponenten betroffener Systeme haben.

Debian veröffentlicht für die stabile Distribution Buster (LTS) ein Sicherheitsupdate für 'ansible' in Version 2.7.7+dfsg-1+deb10u1 bereit, um die Schwachstellen zu beheben. Zusätzlich wird ein kritischer Wettlauf (Race Condition) in 'become_user()' adressiert.

Schwachstellen:

CVE-2019-10156

Schwachstelle in Ansible ermöglicht u. a. Ausspähen von Informationen

CVE-2019-10206

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2019-14846

Schwachstelle in Ansible ermäglicht Ausspähen von Informationen

CVE-2019-14864

Schwachstelle in Ansbile ermöglicht Ausspähen von Informationen

CVE-2019-14904

Schwachstelle in Ansible ermöglicht Ausführen beliebiger Befehle

CVE-2020-10684

Schwachstelle in Ansible ermöglicht u. a. Ausführen beliebigen Programmcodes

CVE-2020-10685

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-10729

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-14330

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-14332

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-14365

Schwachstelle in Ansible ermöglicht Ausführen beliebigen Programmcodes

CVE-2020-1733

Schwachstelle in Ansible ermöglicht Privilegieneskalation

CVE-2020-1735

Schwachstelle in Ansible ermöglicht Directory-Traversal-Angriff

CVE-2020-1739

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1740

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1746

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2020-1753

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

CVE-2021-20228

Schwachstelle in Ansible ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.