PT-2021-3601 · Red Hat+3 · Ansible Engine+3
Jborean93
·
Publicado
2021-03-12
·
Atualizado
2026-06-03
·
CVE-2021-20228
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões do Ansible Engine anteriores à 2.10.6rc1
Versões do Ansible Engine anteriores à 2.9.18rc1
Versões do Ansible Engine anteriores à 2.8.19rc1
Descrição
Foi encontrada uma falha no Ansible Engine, na qual informações confidenciais não são mascaradas por padrão e não são protegidas pelo recurso
no log ao usar o recurso de subopção do módulo basic.py. Isso permite que um invasor obtenha informações confidenciais, sendo a maior ameaça à confidencialidade.Recomendações
Para versões do Ansible Engine anteriores à 2.10.6rc1, atualize para a versão 2.10.6rc1 ou posterior.
Para versões do Ansible Engine anteriores à 2.9.18rc1, atualize para a versão 2.9.18rc1 ou posterior.
Para versões do Ansible Engine anteriores à 2.8.19rc1, atualize para a versão 2.8.19rc1 ou posterior.
Como solução alternativa temporária, considere desativar o recurso de subopções do módulo basic.py até que um patch esteja disponível. Restrinja o acesso a informações confidenciais para minimizar o risco de exploração.
Correção
Information Disclosure
Insufficiently Protected Credentials
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Ansible Engine
Astra Linux
Suse