PT-2020-6581 · Red Hat+5 · Ansible+5
Samdoran
·
Publicado
2020-03-12
·
Atualizado
2026-06-03
·
CVE-2020-1739
CVSS v3.1
3.9
Baixa
| Vetor | AV:L/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N |
Nome do software vulnerável e versões afetadas
Ansible versões 2.7.16 e anteriores
Ansible versões 2.8.8 e anteriores
Ansible versões 2.9.5 e anteriores
Descrição
Foi encontrada uma falha no Ansible: quando uma senha é definida com o argumento
password do módulo svn, ela é utilizada na linha de comando do svn, expondo-a a outros usuários no mesmo nó. Um invasor poderia se aproveitar disso lendo o arquivo cmdline a partir desse PID específico no procfs. A vulnerabilidade está relacionada à divulgação de informações e poderia permitir que um invasor acessasse dados confidenciais e comprometesse sua integridade.Recomendações
Para as versões 2.7.16 e anteriores do Ansible, considere desativar o argumento
password do módulo svn até que um patch esteja disponível.Para as versões 2.8.8 e anteriores do Ansible, restrinja o acesso ao módulo svn para minimizar o risco de exploração.
Para as versões 2.9.5 e anteriores do Ansible, evite usar o argumento
password no módulo svn até que o problema seja resolvido.No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Ansible
Ansible-Core
Astra Linux
Linuxmint
Ubuntu