Abadger

**Nome do software vulnerável e versões afetadas** ansible-runner versão 2.0.0 **Descrição** Foi identificada uma falha no ansible-runner em que a configuração padrão dos arquivos temporários é gravada em locais com permissão de leitura e gravação (R/W) para todos. Essa falha permite que um invasor crie previamente o diretório, resultando na leitura de informações privadas ou forçando o ansible-runner a gravar arquivos como usuário legítimo em um local inesperado. A maior ameaça dessa vulnerabilidade é à confidencialidade e à integridade. **Recomendações** Para a versão 2.0.0, considere alterar a configuração padrão dos arquivos temporários para um local seguro, a fim de impedir o acesso não autorizado. Como solução temporária, restrinja o acesso de gravação ao diretório de arquivos temporários para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** ansible-runner (versões afetadas não especificadas) **Descrição** Foi identificada uma falha de condição de corrida, permitindo que um invasor possa acessar o diretório `private data dir` do ansible-runner ao substituir o nome de um diretório temporário pelo seu próprio diretório. Essa falha representa uma ameaça à integridade e à confidencialidade. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** convert2rhel (versões afetadas não especificadas) **Descrição** O problema está relacionado a uma falha no convert2rhel, que transmite a senha da conta Red Hat ao subscription-manager por meio da linha de comando. Isso poderia permitir que usuários não autorizados localmente na máquina visualizassem a senha através da linha de comando do processo, utilizando ferramentas como htop ou ps. O impacto varia dependendo dos privilégios da conta Red Hat, podendo afetar a integridade, a disponibilidade e/ou a confidencialidade dos dados de outros sistemas administrados por essa conta. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Ansible Engine, versões 2.7.x a 2.7.16 Ansible Engine, versões 2.8.x a 2.8.10 Ansible Engine, versões 2.9.x a 2.9.6 Ansible Tower, versões 3.4.5 e anteriores Ansible Tower, versões 3.5.5 e anteriores Ansible Tower versão 3.6.3 **Descrição** Foi encontrada uma falha no Ansible Engine que afeta a confidencialidade dos dados. O problema expõe a senha de ligação LDAP para a saída padrão (stdout) ou para um arquivo de log se uma tarefa do playbook for escrita usando o `bind pw` no campo de parâmetros quando os módulos comunitários ldap attr e ldap entry forem utilizados. A maior ameaça decorrente dessa vulnerabilidade é a confidencialidade dos dados. **Recomendações** Para as versões 2.7.x a 2.7.16 do Ansible Engine, atualize para a versão 2.7.17 ou posterior. Para as versões 2.8.x a 2.8.10 do Ansible Engine, atualize para a versão 2.8.11 ou posterior. Para as versões 2.9.x a 2.9.6 do Ansible Engine, atualize para a versão 2.9.7 ou posterior. Para as versões 3.4.5 e anteriores do Ansible Tower, atualize para uma versão posterior à 3.4.5. Para as versões 3.5.5 e anteriores do Ansible Tower, atualize para uma versão posterior à 3.5.5. Para a versão 3.6.3 do Ansible Tower, atualize para uma versão posterior à 3.6.3. Como solução alternativa temporária, considere evitar o uso do parâmetro `bind pw` nas tarefas do playbook até que um patch esteja disponível. Restrinja o acesso aos módulos comunitários ldap attr e ldap entry para minimizar o risco de exploração.

**Name of the Vulnerable Software and Affected Versions** Ansible versions up to 2.8.5 Ansible versions up to 2.7.13 Ansible versions up to 2.6.19 Ansible versions up to 3.5 **Description** The issue is related to the disclosure of information through log files in Ansible. Exploitation of this issue may allow an attacker to gain unauthorized access to protected information. The problem arises when a plugin uses a library that logs credentials at the DEBUG level. However, this flaw does not affect Ansible modules since they are executed in a separate process. **Recommendations** For versions up to 2.8.5, consider disabling the DEBUG level logging until a patch is available. For versions up to 2.7.13, restrict access to log files to minimize the risk of exploitation. For versions up to 2.6.19, avoid using plugins that log credentials at the DEBUG level until the issue is resolved. For versions up to 3.5, as a temporary workaround, consider disabling the logging of credentials at the DEBUG level.

**Name of the Vulnerable Software and Affected Versions** Ansible versions 2.3.x through 2.3.2 Ansible versions 2.4.x through 2.4.0 **Description** A flaw was found in the way Ansible passed certain parameters to the jenkins plugin module, allowing remote attackers to expose sensitive information from a remote host's logs. The issue was resolved by not allowing passwords to be specified in the `params` argument. **Recommendations** For Ansible versions 2.3.x through 2.3.2, update to version 2.3.3 or later. For Ansible versions 2.4.x through 2.4.0, update to version 2.4.1 or later.