PT-2021-8091 · Unknown+6 · Ansible Engine+6

Dalrrard

·

Publicado

2021-06-24

·

Atualizado

2025-05-04

·

CVE-2021-3620

CVSS v4.0

6.8

Média

VetorAV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do Ansible Engine anteriores à 2.8.15
Descrição
Foi identificada uma falha no módulo ansible-connection do Ansible Engine, na qual informações confidenciais, como as credenciais de usuário do Ansible, são divulgadas por padrão na mensagem de erro de rastreamento. O maior risco dessa vulnerabilidade é à confidencialidade.
Recomendações
Para versões anteriores à 2.8.15, atualize para uma versão que contenha uma correção para este problema, como a versão 2.8.16 ou posterior, para evitar a divulgação de informações confidenciais. Como solução temporária, considere desativar o módulo ansible-connection até que um patch esteja disponível. Restrinja o acesso à função set options para minimizar o risco de exploração. Evite usar a função set options no módulo ansible-connection afetado até que o problema seja resolvido.

Correção

DoS

Generation of Error Message Containing Sensitive Information

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-209

Identificadores relacionados

ALT-PU-2022-1046
ALT-PU-2022-1098
ALT-PU-2022-1153
BDU:2024-06959
CVE-2021-3620
DLA-3695-1
DLA-3695-2
GHSA-4R65-35QQ-CH8J
MGASA-2021-0487
OPENSUSE-SU-2022_3178-1
OPENSUSE-SU-2024:12302-1
PYSEC-2022-164
RHSA-2021:3871
RHSA-2021:3872
RHSA-2021:3874
RHSA-2021:4703
RHSA-2021:4750
SUSE-SU-2021:4152-1
SUSE-SU-2022:3178-1
SUSE-SU-2024:0196-1
USN-5315-1

Produtos afetados

Alt Linux
Ansible Engine
Astra Linux
Linuxmint
Red Os
Suse
Ubuntu