PT-2021-8095 · Red Hat+3 · Ansible Tower+4
Chen Zhi
+2
·
Publicado
2021-01-17
·
Atualizado
2025-05-04
·
CVE-2021-3447
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Red Hat Ansible Automation Platform anteriores à 1.2.2
Versões do Ansible Tower anteriores à 3.8.2
Descrição
Foi identificada uma falha em vários módulos do Ansible, na qual parâmetros contendo credenciais, como segredos, eram registrados em texto simples nos nós gerenciados, além de ficarem visíveis no nó controlador quando executados no modo detalhado. Esses parâmetros não estavam protegidos pelo recurso
no log. Um invasor pode se aproveitar dessas informações para roubar essas credenciais, desde que tenha acesso aos arquivos de log que as contêm. A maior ameaça dessa vulnerabilidade é à confidencialidade dos dados.Recomendações
Para versões do Red Hat Ansible Automation Platform anteriores à 1.2.2, atualize para a versão 1.2.2 ou posterior para resolver o problema.
Para versões do Ansible Tower anteriores à 3.8.2, atualize para a versão 3.8.2 ou posterior para resolver o problema.
Como solução alternativa temporária, considere desativar o modo detalhado para minimizar o risco de exploração.
Restrinja o acesso aos arquivos de log que contêm informações confidenciais para impedir o acesso não autorizado.
Correção
Insertion into Log File
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ansible-Core
Ansible Tower
Astra Linux
Red Hat Ansible Automation Platform
Suse