安全公告/【CVE-2020-1736】
基本信息
漏洞描述
由于无法指定文件模式,使用 atomic_move 原语移动文件时,Ansible Engine 中发现了一个漏洞。如果目标文件不存在,则将目标文件设置为全局可读;如果文件存在,则在移动之前可以更改文件以减少限制权限。这可能导致敏感数据泄露。2.7.x、2.8.x 和 2.9.x 分支中的所有版本都被认为存在漏洞。
修复方式
软件包升级 dnf update ansible
参考
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1736
https://github.com/ansible/ansible/issues/67794
https://security.gentoo.org/glsa/202006-11
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2NYYQP2XJB2TTRP6AKWVMBSPB2DFJNKD/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BPNZWBAUP4ZHUR6PO7U6ZXEKNCX62KZ7/