Bcoca

**Nome do software vulnerável e versões afetadas** Ansible Engine versões 2.7.x a 2.7.17 Ansible Engine versões 2.8.x a 2.8.11 Ansible Engine versões 2.9.x a 2.9.7 Ansible Tower versões 3.4.5 e anteriores Ansible Tower versões 3.5.5 e anteriores Ansible Tower versões 3.6.3 e anteriores **Descrição** Foi encontrada uma falha no Ansible Engine que afeta o uso de módulos que descriptografam arquivos do vault, como os módulos `assemble`, `script`, `unarchive`, `win copy`, `aws s3` ou `copy`. O diretório temporário criado em `/tmp` deixa dados confidenciais sem criptografia. Em sistemas operacionais onde `/tmp` não é um tmpfs, mas parte da partição raiz, o diretório só é limpo na inicialização, e os dados descriptografados permanecem quando o host é desligado. Isso deixa o sistema vulnerável quando ele não está em execução. Os dados descriptografados devem ser limpos o mais rápido possível. **Recomendações** Para as versões 2.7.x a 2.7.17 do Ansible Engine, atualize para a versão 2.7.17 ou posterior. Para as versões 2.8.x a 2.8.11 do Ansible Engine, atualize para a versão 2.8.11 ou posterior. Para as versões 2.9.x a 2.9.7 do Ansible Engine, atualize para a versão 2.9.7 ou posterior. Para as versões 3.4.5 e anteriores do Ansible Tower, atualize para uma versão posterior à 3.4.5. Para as versões 3.5.5 e anteriores do Ansible Tower, atualize para uma versão posterior à 3.5.5. Para as versões 3.6.3 e anteriores do Ansible Tower, atualize para uma versão posterior à 3.6.3. Como solução alternativa temporária, considere limpar o diretório temporário em `/tmp` o mais rápido possível

**Nome do software vulnerável e versões afetadas** Ansible Engine versões 2.7.x anteriores à 2.7.17 Ansible Engine versões 2.8.x anteriores à 2.8.11 Ansible Engine versões 2.9.x anteriores à 2.9.7 **Descrição** Foi encontrada uma falha de segurança no Ansible Engine ao gerenciar o Kubernetes usando o módulo k8s. Parâmetros confidenciais, como `passwords` e `tokens`, são passados para o kubectl a partir da linha de comando, sem o uso de uma variável de ambiente ou de um arquivo de configuração de entrada. Isso expõe `passwords` e `tokens` na lista de processos, e a diretiva `no log` do módulo de depuração não teria qualquer efeito, fazendo com que esses segredos fossem expostos na saída padrão (stdout) e nos arquivos de log. **Recomendações** Para versões do Ansible Engine 2.7.x anteriores à 2.7.17, atualize para a versão 2.7.17 ou posterior. Para versões do Ansible Engine 2.8.x anteriores à 2.8.11, atualize para a versão 2.8.11 ou posterior. Para versões do Ansible Engine 2.9.x anteriores à 2.9.7, atualize para a versão 2.9.7 ou posterior. Como solução temporária, considere restringir o acesso ao módulo k8s até que um patch esteja disponível. Evite usar parâmetros confidenciais, como `passwords` e `tokens`, no módulo k8s até que o problema seja resolvido.

**Name of the Vulnerable Software and Affected Versions** Ansible versions prior to 2.6.18 Ansible versions prior to 2.7.12 Ansible versions prior to 2.8.2 **Description** A flaw was discovered in the way Ansible templating was implemented, causing the possibility of information disclosure through unexpected variable substitution. By taking advantage of unintended variable substitution, the content of any variable may be disclosed. This issue may allow a remote attacker to access and compromise confidential data. **Recommendations** For versions prior to 2.6.18, update to version 2.6.18 or later. For versions prior to 2.7.12, update to version 2.7.12 or later. For versions prior to 2.8.2, update to version 2.8.2 or later.