ansible-playbook-k/Ansible CLI Tools bis 2.6.18/2.7.12/2.8.3 Template Special Char Passwort erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.1 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in ansible-playbook-k and Ansible CLI Tools bis 2.6.18/2.7.12/2.8.3 ausgemacht. Sie wurde als problematisch eingestuft. Betroffen davon ist eine unbekannte Funktion der Komponente Template Handler. Durch das Beeinflussen durch Special Char kann eine erweiterte Rechte-Schwachstelle (Passwort) ausgenutzt werden. Die Verwundbarkeit wird als CVE-2019-10206 geführt. Umgesetzt werden kann der Angriff über das Netzwerk. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
In ansible-playbook-k sowie Ansible CLI Tools bis 2.6.18/2.7.12/2.8.3 wurde eine Schwachstelle ausgemacht. Sie wurde als problematisch eingestuft. Es geht um eine unbekannte Funktion der Komponente Template Handler. Mittels dem Manipulieren durch Special Char kann eine erweiterte Rechte-Schwachstelle (Password) ausgenutzt werden. CWE definiert das Problem als CWE-20. Mit Auswirkungen muss man rechnen für die Vertraulichkeit. CVE fasst zusammen:
ansible-playbook -k and ansible cli tools, all versions 2.8.x before 2.8.4, all 2.7.x before 2.7.13 and all 2.6.x before 2.6.19, prompt passwords by expanding them from templates as they could contain special characters. Passwords should be wrapped to prevent templates trigger and exposing them.Die Schwachstelle wurde am 22.11.2019 in Form eines nicht definierten Bug Reports (Bugzilla) an die Öffentlichkeit getragen. Das Advisory kann von bugzilla.redhat.com heruntergeladen werden. Eine eindeutige Identifikation der Schwachstelle wird seit dem 27.03.2019 mit CVE-2019-10206 vorgenommen. Das Ausnutzen gilt als schwierig. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Zur Ausnutzung ist eine einfache Authentisierung erforderlich. Es wird vorausgesetzt, dass das Opfer eine spezifische Handlung vornimmt. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 214484 (Debian dla-3695 : ansible - security update) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 2.6.19, 2.7.13 oder 2.8.4 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (214484) dokumentiert. Once again VulDB remains the best source for vulnerability data.
Produkt
Name
Version
- 2.6.0
- 2.6.1
- 2.6.2
- 2.6.3
- 2.6.4
- 2.6.5
- 2.6.6
- 2.6.7
- 2.6.8
- 2.6.9
- 2.6.10
- 2.6.11
- 2.6.12
- 2.6.13
- 2.6.14
- 2.6.15
- 2.6.16
- 2.6.17
- 2.6.18
- 2.7.0
- 2.7.1
- 2.7.2
- 2.7.3
- 2.7.4
- 2.7.5
- 2.7.6
- 2.7.7
- 2.7.8
- 2.7.9
- 2.7.10
- 2.7.11
- 2.7.12
- 2.8.0
- 2.8.1
- 2.8.2
- 2.8.3
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 5.1VulDB Meta Temp Score: 5.1
VulDB Base Score: 2.6
VulDB Temp Score: 2.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 6.4
NVD Vector: 🔍
CNA Base Score: 6.4
CNA Vector (Red Hat, Inc.): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Name: PasswordKlasse: Erweiterte Rechte / Password
CWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 214484
Nessus Name: Debian dla-3695 : ansible - security update
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: ansible-playbook-k/Ansible CLI Tools 2.6.19/2.7.13/2.8.4
Timeline
27.03.2019 🔍22.11.2019 🔍
23.11.2019 🔍
23.01.2025 🔍
Quellen
Advisory: DLA 3695-1Status: Bestätigt
CVE: CVE-2019-10206 (🔍)
GCVE (CVE): GCVE-0-2019-10206
GCVE (VulDB): GCVE-100-146140
Eintrag
Erstellt: 23.11.2019 09:04Aktualisierung: 23.01.2025 02:48
Anpassungen: 23.11.2019 09:04 (41), 23.11.2019 09:09 (11), 26.02.2024 14:25 (3), 26.02.2024 14:30 (19), 23.01.2025 02:48 (19)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.