СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Уязвимости
ФСТЭК России
23.09.2020
#Dev#ИБ

Уязвимость BDU:2022-00281

Уязвимость BDU:2022-00281

Идентификатор: BDU:2022-00281.

Наименование уязвимости: Уязвимость модуля dnf системы управления конфигурациями Ansible, связанная с некорректным подтверждением криптографической подписи данных, позволяющая нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании.

Описание уязвимости: Уязвимость модуля dnf системы управления конфигурациями Ansible связана с некорректным подтверждением криптографической подписи данных. Эксплуатация уязвимости может позволить нарушителю нарушить целостность данных, а также вызвать отказ в обслуживании
Уязвимое ПО: Операционная система Debian GNU/Linux 9 | Операционная система Debian GNU/Linux 8.0 | Операционная система Debian GNU/Linux 10 | Сетевое программное средство Red Hat Inc. Ansible Tower от 3.6.0 до 3.6.3 включительно | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7 | Сетевое программное средство Red Hat Inc. Ansible Tower от 3.7.0 до 3.7.2 включительно | Прикладное ПО информационных систем Red Hat Inc. Ansible от 2.8.0 до 2.8.15 включительно | Прикладное ПО информационных систем Red Hat Inc. Ansible от 2.9.0 до 2.9.13 включительно | Операционная система ООО «РусБИТех-Астра» Astra Linux Special Edition 4.7 | Операционная система АО «ИВК» Альт 8 СП — | Операционная система АО «НППКТ» ОСОН ОСнова Оnyx до 2.1 |

Наименование ОС и тип аппаратной платформы: Debian GNU/Linux 9 | Debian GNU/Linux 80 | Debian GNU/Linux 10 | Astra Linux Special Edition 17 | Astra Linux Special Edition 47 | Альт 8 СП — |
Дата выявления: 23.09.2020.
CVSS 2.0: AV:L/AC:L/Au:N/C:N/I:C/A:C
Уровень опасности уязвимости: Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,6)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,1)

Возможные меры по устранению:
Для Ansible:
использование рекомендаций производителя: https://bugzilla.redhat.com/show_bug.cgi?id=1869154

Для Debian:
использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2020-14365

Для Astra Linux:
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
использование рекомендаций производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47

Для ОСОН Основа:
Обновление программного обеспечения ansible до версии 2.7.7+dfsg-1+deb10u1

Для ОС Альт 8 СП: установка обновления из публичного репозитория программного средства.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2020-14365.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://bugzilla.redhat.com/show_bug.cgi?id=1869154
https://nvd.nist.gov/vuln/detail/CVE-2020-14365
https://security-tracker.debian.org/tracker/CVE-2020-14365
https://wiki.astralinux.ru/astra-linux-se17-bulletin-2021-1126SE17
https://wiki.astralinux.ru/astra-linux-se47-bulletin-2022-0114SE47
https://поддержка.нппкт.рф/bin/view/ОСнова/Обновления/2.1/
https://altsp.su/obnovleniya-bezopasnosti/

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: