Vulnerabilidad en la instalación de paquetes usando el módulo dnf en disable_gpg_check en Ansible Engine (CVE-2020-14365)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/09/2020
Última modificación:
05/04/2022
Descripción
Se encontró un fallo en Ansible Engine, en ansible-engine versiones 2.8.x anteriores a 2.8.15 y ansible-engine versiones 2.9.x anteriores a 2.9.13, Cuando se instalan paquetes usando el módulo dnf. Unas firmas GPG son ignoradas durante la instalación incluso cuando disable_gpg_check es establecida en False, que es el comportamiento predeterminado. Este fallo conlleva a que son instalados paquetes maliciosos en el sistema y son ejecutados códigos arbitrarios por medio de scripts de instalación de paquetes. La mayor amenaza de esta vulnerabilidad es la integridad y la disponibilidad del sistema
Impacto
Puntuación base 3.x
7.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.60
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:redhat:ansible_engine:*:*:*:*:*:*:*:* | 2.8.0 (incluyendo) | 2.8.15 (incluyendo) |
| cpe:2.3:a:redhat:ansible_engine:*:*:*:*:*:*:*:* | 2.9.0 (incluyendo) | 2.9.13 (incluyendo) |
| cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.5 (incluyendo) |
| cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.7.0 (incluyendo) | 3.7.2 (incluyendo) |
| cpe:2.3:a:redhat:ansible_tower:3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:ceph_storage:2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:ceph_storage:3.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openstack_platform:10.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:openstack_platform:13.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:debian:debian_linux:10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página