Amazon Linux 2:ansible (ALASANSIBLE2-2023-006)
medium Nessus 插件 ID 181970
语言:
简介
远程 Amazon Linux 2 主机缺少安全更新。描述
远程主机上安装的 ansible 版本低于 2.9.12-1。因此,它受到 ALAS2ANSIBLE2-2023-006 公告中提及的多个漏洞影响。- 使用 uri 模块时,在 Ansible 中发现一个不当输出中和缺陷,其中敏感数据会暴露给内容和 json 输出。此缺陷让攻击者可以访问已执行任务的日志或输出,以从 uri 模块内的其他用户那里读取 playbook 中使用的密钥。此漏洞最主要的威胁对象是数据机密性。(CVE-2020-14330)
- 使用 module_args 时,在 Ansible Engine 中发现一个缺陷。通过检查模式 (--check-mode) 执行的任务未正确中和事件数据中暴露的敏感数据。此缺陷允许未经授权的用户读取此数据。此漏洞最主要的威胁对象是机密性。
(CVE-2020-14332)
- 当使用 atomic_move 原语移动文件时,在 Ansible 引擎中发现了一个缺陷,发生这种情况是因为无法指定文件模式。如果目标文件不存在,则此操作会将目标文件设置为全局可读;如果该文件存在,则可在移动文件之前将该文件的设置更改为具有更少的限制性权限。
这可能会导致敏感数据泄漏。2.7.x、2.8.x 和 2.9.x 分支中的所有版本均被认为易受攻击。(CVE-2020-1736)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
运行“yum update ansible”以更新系统。另见
https://alas.aws.amazon.com/AL2/ALASANSIBLE2-2023-006.html
https://alas.aws.amazon.com/cve/html/CVE-2020-14330.html
https://alas.aws.amazon.com/cve/html/CVE-2020-14332.html
插件详情
严重性: Medium
ID: 181970
文件名: al2_ALASANSIBLE2-2023-006.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2023/9/27
最近更新时间: 2023/9/28
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 4.4
CVSS v2
风险因素: Low
基本分数: 2.1
时间分数: 1.6
矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2020-1736
CVSS v3
风险因素: Medium
基本分数: 5.5
时间分数: 5
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS 分数来源: CVE-2020-14332
漏洞信息
CPE: p-cpe:/a:amazon:linux:ansible, p-cpe:/a:amazon:linux:ansible-doc, cpe:/o:amazon:linux:2
必需的 KB 项: Host/local_checks_enabled, Host/AmazonLinux/release, Host/AmazonLinux/rpm-list
可利用: true
易利用性: Exploits are available
补丁发布日期: 2023/8/21
漏洞发布日期: 2019/12/19
参考资料信息
CVE: CVE-2020-14330, CVE-2020-14332, CVE-2020-1736
IAVB: 2019-B-0092-S