PT-2020-6579 · Unknown+5 · Ansible Engine+5
Samdoran
·
Publicado
2020-03-11
·
Atualizado
2026-06-03
·
CVE-2020-1733
CVSS v3.1
5.0
Média
| Vetor | AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:L |
Nome do software vulnerável e versões afetadas
Ansible Engine versões 2.7.17 e anteriores
Ansible Engine versões 2.8.9 e anteriores
Ansible Engine versões 2.9.6 e anteriores
Descrição
O problema está relacionado a uma falha de condição de corrida no Ansible Engine ao executar um playbook com um usuário
become sem privilégios. Essa falha pode ser explorada para obter acesso a dados confidenciais, comprometer a integridade dos dados e causar uma negação de serviço. A vulnerabilidade está associada a arquivos temporários inseguros criados em /var/tmp. Um invasor poderia explorar isso assumindo o controle do usuário become, já que o diretório de destino pode ser recuperado iterando ‘/proc//cmdline’.Recomendações
Para as versões 2.7.17 e anteriores do Ansible Engine, atualize para uma versão que inclua a correção para este problema.
Para as versões 2.8.9 e anteriores do Ansible Engine, atualize para uma versão que inclua a correção para este problema.
Para as versões 2.9.6 e anteriores do Ansible Engine, atualize para uma versão que inclua a correção para este problema.
Como solução alternativa temporária, considere restringir o acesso ao diretório temporário em /var/tmp para minimizar o risco de exploração.
Exploit
Correção
Race Condition
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Ansible-Core
Ansible Engine
Astra Linux
Linuxmint
Ubuntu