PT-2020-6569 · Red Hat+2 · Ansible Engine+2
Bcoca
·
Publicado
2020-03-16
·
Atualizado
2026-06-03
·
CVE-2020-1753
CVSS v4.0
6.8
Média
| Vetor | AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Ansible Engine versões 2.7.x anteriores à 2.7.17
Ansible Engine versões 2.8.x anteriores à 2.8.11
Ansible Engine versões 2.9.x anteriores à 2.9.7
Descrição
Foi encontrada uma falha de segurança no Ansible Engine ao gerenciar o Kubernetes usando o módulo k8s. Parâmetros confidenciais, como
passwords e tokens, são passados para o kubectl a partir da linha de comando, sem o uso de uma variável de ambiente ou de um arquivo de configuração de entrada. Isso expõe passwords e tokens na lista de processos, e a diretiva no log do módulo de depuração não teria qualquer efeito, fazendo com que esses segredos fossem expostos na saída padrão (stdout) e nos arquivos de log.Recomendações
Para versões do Ansible Engine 2.7.x anteriores à 2.7.17, atualize para a versão 2.7.17 ou posterior.
Para versões do Ansible Engine 2.8.x anteriores à 2.8.11, atualize para a versão 2.8.11 ou posterior.
Para versões do Ansible Engine 2.9.x anteriores à 2.9.7, atualize para a versão 2.9.7 ou posterior.
Como solução temporária, considere restringir o acesso ao módulo k8s até que um patch esteja disponível.
Evite usar parâmetros confidenciais, como
passwords e tokens, no módulo k8s até que o problema seja resolvido.Exploit
Correção
Information Disclosure
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Ansible Engine
Astra Linux