阿里云漏洞库

低危 Ansible数据伪造问题漏洞

CVE编号

CVE-2020-14365

利用情况

暂无

补丁情况

官方补丁

披露时间

2020-09-24

漏洞描述

Red Hat Ansible是美国红帽（Red Hat）公司的一款计算机系统配置管理器。该产品可用于发布、管理和编排计算机系统。 Red Hat Ansible 中存在数据伪造问题漏洞。该漏洞源于网络系统或产品未充分验证数据的来源或真实性。攻击者可利用伪造的数据进行攻击。

解决建议

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法： https://bugzilla.redhat.com/

参考链接
https://bugzilla.redhat.com/show_bug.cgi?id=1869154
https://www.debian.org/security/2021/dsa-4950

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	redhat	ansible_engine	*	From (including) 2.8.0	Up to (including) 2.8.15
	运行在以下环境
	应用	redhat	ansible_engine	*	From (including) 2.9.0	Up to (including) 2.9.13
	运行在以下环境
	应用	redhat	ansible_tower	*	From (including) 3.6.0	Up to (including) 3.6.5
	运行在以下环境
	应用	redhat	ansible_tower	*	From (including) 3.7.0	Up to (including) 3.7.2
	运行在以下环境
	应用	redhat	ansible_tower	3.0	-
	运行在以下环境
	应用	redhat	ceph_storage	2.0	-
	运行在以下环境
	应用	redhat	ceph_storage	3.0	-
	运行在以下环境
	应用	redhat	openstack_platform	10.0	-
	运行在以下环境
	应用	redhat	openstack_platform	13.0	-
	运行在以下环境
	系统	alpine_3.10	ansible	*		Up to (excluding) 2.8.15-r0
	运行在以下环境
	系统	alpine_3.11	ansible	*		Up to (excluding) 2.9.13-r0
	运行在以下环境
	系统	alpine_3.12	ansible	*		Up to (excluding) 2.9.13-r0
	运行在以下环境
	系统	alpine_3.13	ansible-base	*		Up to (excluding) 2.9.13-r0
	运行在以下环境
	系统	alpine_3.14	ansible-base	*		Up to (excluding) 2.9.13-r0
	运行在以下环境
	系统	alpine_3.15	ansible-base	*		Up to (excluding) 2.9.13-r0
	运行在以下环境
	系统	amazon_2	ansible	*		Up to (excluding) 2.9.13-1.amzn2
	运行在以下环境
	系统	debian_10	ansible	*		Up to (excluding) 2.7.7+dfsg-1+deb10u1
	运行在以下环境
	系统	debian_11	ansible	*		Up to (excluding) 2.9.13+dfsg-1
	运行在以下环境
	系统	debian_12	ansible	*		Up to (excluding) 2.9.13+dfsg-1

攻击路径

本地
攻击复杂度

复杂
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

100

CWE-ID	漏洞类型
CWE-347	密码学签名的验证不恰当