漏洞标题
N/A
漏洞描述信息
在ansible的lxc_container模块在1.9.6-1之前和2.x之前在2.0.2.0之前,create_script函数允许本地用户写入任意文件或通过符号链接攻击获取权限,攻击方式为:(1)对/opt/.lxc-attach-script文件进行读写,(2)在archive_path目录中的压缩容器,或(3)在临时目录中的lxc-attach-script.log或(4)lxc-attach-script.err文件进行读写。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
The create_script function in the lxc_container module in Ansible before 1.9.6-1 and 2.x before 2.0.2.0 allows local users to write to arbitrary files or gain privileges via a symlink attack on (1) /opt/.lxc-attach-script, (2) the archived container in the archive_path directory, or the (3) lxc-attach-script.log or (4) lxc-attach-script.err files in the temporary directory.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Ansible lxc_container模块安全漏洞
漏洞描述信息
Ansible是美国Ansible公司的一款计算机系统配置管理器,它可用于发布、管理和编排计算机系统。 Ansible 1.9.6-1之前的版本和2.0.2.0之前的2.x版本中的lxc_container模块中的‘create_script’函数存在安全漏洞。本地攻击者可通过向临时目录下的多个文件实施符号链接攻击利用该漏洞写入任意文件或获取权限。(文件包括:/opt/.lxc-attach-script,archive_path/archived container,lxc-attach-script.
CVSS信息
N/A
漏洞类别
后置链接