PT-2021-5807 · Unknown+3 · Ansible Engine+3

Borja Tarraso

+1

·

Publicado

2020-11-12

·

Atualizado

2026-06-03

·

CVE-2020-10729

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Ansible Engine anteriores à 2.9.6
Descrição
Foi encontrada uma falha no uso de valores aleatórios insuficientes no Ansible. Duas pesquisas de senha aleatórias com o mesmo comprimento geram o mesmo valor que a ação de armazenamento em cache do modelo para o mesmo arquivo, uma vez que não ocorre reavaliação. A maior ameaça dessa vulnerabilidade seria a exposição simultânea de todas as senhas do arquivo. Esse problema pode permitir que um invasor obtenha acesso a dados confidenciais.
Recomendações
Para versões do Ansible Engine anteriores à 2.9.6, atualize para a versão 2.9.6 ou posterior para resolver o problema. Como solução temporária, considere desativar a ação de armazenamento em cache de modelos para arquivos confidenciais até que um patch esteja disponível. Restrinja o acesso a dados confidenciais para minimizar o risco de exploração.

Exploit

Correção

Use of Insufficiently Random Values

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-330

Identificadores relacionados

BDU:2022-00275
CVE-2020-10729
DSA-4950-1
GHSA-R6H7-5PQ2-J77H
OESA-2021-1349
OESA-2022-1950
OPENSUSE-SU-2022:0081-1
OPENSUSE-SU-2024:10615-1
OPENSUSE-SU-2024:14244-1
OPENSUSE-SU-2024:14536-1
OPENSUSE-SU-2025:15605-1
OPENSUSE-SU-2025:15753-1
OPENSUSE-SU-2026:10944-1
PYSEC-2021-105
SUSE-SU-2020:3309-1
USN-7330-1
USN-7330-2

Produtos afetados

Ansible Engine
Astra Linux
Linuxmint
Ubuntu