漏洞标题
N/A
漏洞描述信息
在使用Ansible Vault编辑加密文件时,发现了一个漏洞。当用户执行"ansible-vault edit"时,在同一台计算机上的其他用户可以读取旧和新密钥,因为它创建在名为mkstemp的临时文件中,返回的文件描述符被关闭,然后调用write_data方法将现有密钥写入文件中。这种方法在不安全的情况下将删除文件。据信,2.7.x、2.8.x和2.9.x分支的所有版本都是易受攻击的。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
A flaw was found in Ansible Engine when using Ansible Vault for editing encrypted files. When a user executes "ansible-vault edit", another user on the same computer can read the old and new secret, as it is created in a temporary file with mkstemp and the returned file descriptor is closed and the method write_data is called to write the existing secret in the file. This method will delete the file before recreating it insecurely. All versions in 2.7.x, 2.8.x and 2.9.x branches are believed to be vulnerable.
CVSS信息
CVSS:3.1/AV:L/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:N
漏洞类别
不安全的临时文件
漏洞标题
Ansible 信息泄露漏洞
漏洞描述信息
Ansible是美国Ansible公司的一款计算机系统配置管理器。该产品可用于发布、管理和编排计算机系统。Ansible Engine是其中的一个Ansible引擎。 Ansible Engine 2.7.x、2.8.x和2.9.x版本中存在安全漏洞。攻击者可利用该漏洞读取敏感信息。
CVSS信息
N/A
漏洞类别
信息泄露