安全公告/【CVE-2020-1739】
基本信息
漏洞描述
Ansible 2.7.16 及之前版本、2.8.8 及之前版本和 2.9.5 及之前版本中发现一个漏洞,当使用 svn 模块的参数“password”设置密码时,该密码会用于 svn 命令行,从而向同一节点内的其他用户泄露。攻击者可以通过从 procfs 上的特定 PID 读取 cmdline 文件来利用该漏洞。
修复方式
软件包升级 dnf update ansible
参考
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1739
https://github.com/ansible/ansible/issues/67797
https://lists.debian.org/debian-lts-announce/2020/05/msg00005.html
https://www.debian.org/security/2021/dsa-4950
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/FWDK3QUVBULS3Q3PQTGEKUQYPSNOU5M3/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/QT27K5ZRGDPCH7GT3DRI3LO4IVDVQUB7/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/U3IMV3XEIUXL6S4KPLYYM4TVJQ2VNEP2/