安全公告/【CVE-2020-1740】
基本信息
漏洞描述
使用 Ansible Vault 编辑加密文件时,Ansible Engine 中发现了一个漏洞。当用户执行“ansible-vault edit”时,同一台计算机上的另一个用户可以读取旧的和新的密钥,因为它是在使用 mkstemp 的临时文件中创建的,返回的文件描述符已关闭,并调用方法 write_data 将现有密钥写入文件中。此方法将在不安全地重新创建文件之前删除该文件。2.7.x、2.8.x 和 2.9.x 分支中的所有版本都被认为存在漏洞。
修复方式
软件包升级 dnf update ansible
参考
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1740
https://github.com/ansible/ansible/issues/67798
https://lists.debian.org/debian-lts-announce/2020/05/msg00005.html
https://security.gentoo.org/glsa/202006-11
https://www.debian.org/security/2021/dsa-4950
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/WQVOQD4VAIXXTVQAJKTN7NUGTJFE2PCB/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/DKPA4KC3OJSUFASUYMG66HKJE7ADNGFW/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/MRRYUU5ZBLPBXCYG6CFP35D64NP2UB2S/