Amazon Linux 2：ansible（ALASANSIBLE2-2023-006）

medium Nessus プラグイン ID 181970

Language:

概要

リモートのAmazon Linux 2ホストにセキュリティ更新プログラムがありません。

説明

リモートホストにインストールされているansibleのバージョンは、2.9.12-1より前です。したがって、ALAS2ANSIBLE2-2023-006 のアドバイザリに記載されている複数の脆弱性の影響を受けます。

- uriモジュールを使用するときにAnsibleでログの不適切な出力中性化の欠陥が見つかりました。機密データがコンテンツとjson出力に漏洩されます。この欠陥により、攻撃者は実行されたタスクのログまたは出力にアクセスして、プレイブックで使用されたキーを他のユーザーからuriモジュール内で読み取ることができます。この脆弱性による主な脅威は、データの機密性に関するものです。 (CVE-2020-14330)

- module_argsを使用する際に、Ansible Engineに欠陥が見つかりました。チェックモードで実行されたタスク (--check-mode) は、イベントデータで漏洩した機密データを適切に無効にしません。この欠陥により、認証されていないユーザーがこのデータを読み取る可能性があります。この脆弱性による主な脅威は、機密性に関するものです。
(CVE-2020-14332)

- ファイルモードを指定できないため、atomic_move プリミティブを使用してファイルを移動する際に、Ansible Engine に欠陥が見つかりました。これにより、移動先のファイルが存在しない場合は誰でも読み取りできるように移動先のファイルが設定され、ファイルが存在する場合は、移動前にファイルのアクセス許可の制限が緩和される可能性があります。
このため、機密データの漏洩が発生する可能性があります。2.7.x、2.8.x、および 2.9.x のブランチのすべてのバージョンが脆弱であると考えられています。(CVE-2020-1736)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。