Vulnerabilidad en la función atomic_move en el modo de archivo en Ansible Engine (CVE-2020-1736)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
16/03/2020
Última modificación:
07/11/2023
Descripción
Se detectó un fallo en Ansible Engine, cuando un archivo es movido usando la función atomic_move primitiva ya que el modo de archivo no puede ser especificado. Esto establece los archivos de destino de tipo world-readable si el archivo de destino no existe y si el archivo existe, el archivo podría ser cambiado para tener permisos menos restrictivos antes del movimiento. Esto podría conllevar a la divulgación de datos confidenciales. Se cree que todas las versiones en las derivaciones 2.7.x, 2.8.x y 2.9.x son vulnerables.
Impacto
Puntuación base 3.x
3.30
Gravedad 3.x
BAJA
Puntuación base 2.0
2.10
Gravedad 2.0
BAJA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:redhat:ansible:*:*:*:*:*:*:*:* | 2.7.16 (incluyendo) | |
cpe:2.3:a:redhat:ansible:*:*:*:*:*:*:*:* | 2.8.0 (incluyendo) | 2.8.15 (excluyendo) |
cpe:2.3:a:redhat:ansible:*:*:*:*:*:*:*:* | 2.9.0 (incluyendo) | 2.9.13 (excluyendo) |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.3.4 (incluyendo) | |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.3.5 (incluyendo) | 3.4.5 (incluyendo) |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.5.0 (incluyendo) | 3.5.5 (incluyendo) |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.6.0 (incluyendo) | 3.6.3 (incluyendo) |
cpe:2.3:a:redhat:ansible_tower:*:*:*:*:*:*:*:* | 3.7.0 (incluyendo) | 3.7.2 (incluyendo) |
cpe:2.3:a:redhat:cloudforms_management_engine:5.0:*:*:*:*:*:*:* | ||
cpe:2.3:a:redhat:openstack:13:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:31:*:*:*:*:*:*:* | ||
cpe:2.3:o:fedoraproject:fedora:32:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1736
- https://github.com/ansible/ansible/issues/67794
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2NYYQP2XJB2TTRP6AKWVMBSPB2DFJNKD/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BPNZWBAUP4ZHUR6PO7U6ZXEKNCX62KZ7/
- https://security.gentoo.org/glsa/202006-11