安全公告/【CVE-2020-1740】

基本信息

漏洞名称:
受影响操作系统:红旗Asianux服务器操作系统 V8
危险等级:中危
影响源码包:ansible;
CVSS评分:4.7
发现日期:2024-11-11
修复日期:2024-11-11
修复版本:

漏洞描述

使用 Ansible Vault 编辑加密文件时,Ansible Engine 中发现了一个漏洞。当用户执行“ansible-vault edit”时,同一台计算机上的另一个用户可以读取旧的和新的密钥,因为它是在使用 mkstemp 的临时文件中创建的,返回的文件描述符已关闭,并调用方法 write_data 将现有密钥写入文件中。此方法将在不安全地重新创建文件之前删除该文件。2.7.x、2.8.x 和 2.9.x 分支中的所有版本都被认为存在漏洞。

漏洞判定


        

修复方式

软件包升级
dnf update ansible

补丁