PT-2020-6568 · Red Hat+2 · Ansible Engine+3
Abadger
·
Publicado
2020-05-12
·
Atualizado
2026-06-03
·
CVE-2020-1746
CVSS v4.0
5.1
Média
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Ansible Engine, versões 2.7.x a 2.7.16
Ansible Engine, versões 2.8.x a 2.8.10
Ansible Engine, versões 2.9.x a 2.9.6
Ansible Tower, versões 3.4.5 e anteriores
Ansible Tower, versões 3.5.5 e anteriores
Ansible Tower versão 3.6.3
Descrição
Foi encontrada uma falha no Ansible Engine que afeta a confidencialidade dos dados. O problema expõe a senha de ligação LDAP para a saída padrão (stdout) ou para um arquivo de log se uma tarefa do playbook for escrita usando o
bind pw no campo de parâmetros quando os módulos comunitários ldap attr e ldap entry forem utilizados. A maior ameaça decorrente dessa vulnerabilidade é a confidencialidade dos dados.Recomendações
Para as versões 2.7.x a 2.7.16 do Ansible Engine, atualize para a versão 2.7.17 ou posterior.
Para as versões 2.8.x a 2.8.10 do Ansible Engine, atualize para a versão 2.8.11 ou posterior.
Para as versões 2.9.x a 2.9.6 do Ansible Engine, atualize para a versão 2.9.7 ou posterior.
Para as versões 3.4.5 e anteriores do Ansible Tower, atualize para uma versão posterior à 3.4.5.
Para as versões 3.5.5 e anteriores do Ansible Tower, atualize para uma versão posterior à 3.5.5.
Para a versão 3.6.3 do Ansible Tower, atualize para uma versão posterior à 3.6.3.
Como solução alternativa temporária, considere evitar o uso do parâmetro
bind pw nas tarefas do playbook até que um patch esteja disponível. Restrinja o acesso aos módulos comunitários ldap attr e ldap entry para minimizar o risco de exploração.Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Ansible Engine
Ansible Tower
Astra Linux