BDU:2024-07358
Сообщество свободного программного обеспечения, ООО «РусБИТех-Астра», ООО «Ред Софт», Red Hat Inc. Astra Linux Common Edition, Ansible, Astra Linux Special Edition, Debian GNU/Linux, РЕД ОС
2022-10-25
Уязвимость модуля amazon.aws.ec2_instance управления конфигурациями Ansible связана с ошибкой обработки параметра tower_callback. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, получить доступ к конфиденциальным данным
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Для Ansible: использование рекомендаций производителя: https://github.com/ansible-collections/amazon.aws/pull/1199/commits/ad4c398125f40b9c41eb26ea4ccbc35a2c45d873 Для Debian: использование рекомендаций производителя: https://security-tracker.debian.org/tracker/CVE-2022-3697 Для ОС Astra Linux: обновить пакет ansible до 2.7.7+dfsg-1+deb10u1+ci202212071706+astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2022-1221SE17MD
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-ansible-cve-2022-3697/?sphrase_id=1203880
Для ОС Astra Linux: обновить пакет ansible до 2.7.7+dfsg-1+deb10u2 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16