Confira !!
O pacote ansible-base antes da versão 2.10.6-1 é vulnerável à divulgação de informações.
Aviso de segurança do Arch Linux ASA-202102-30
================================================
Gravidade: média
Data: 2021-02-20
CVE-ID: CVE-2021-20228
Pacote: ansible-base
Tipo: divulgação de informações
Remoto: Não
Link: https://security.archlinux.org/AVG-1562
Resumo
=======
O pacote ansible-base antes da versão 2.10.6-1 é vulnerável a
divulgação de informação.
Resolução
==========
Atualize para 2.10.6-1.
# pacman -Syu "ansible-base> = 2.10.6-1"
O problema foi corrigido na versão 2.10.6.
Workaround
==========
Nenhum.
Descrição
===========
Uma falha foi encontrada no Ansible Engine, onde informações confidenciais não são
mascarado por padrão e não é protegido pelo recurso no_log ao usar
o recurso de subopção do módulo basic.py. Esta falha permite um
invasor para obter informações confidenciais.
Impacto
======
Um invasor local é capaz de divulgar informações confidenciais ao executar
um manual da Ansible.
Referências
==========
https://bugzilla.redhat.com/show_bug.cgi?id=1925002
https://github.com/ansible/ansible/pull/73487
https://github.com/ansible/ansible/commit/e41d1f0a3fd6c466192e7e24accd3d1c6501111b
https://security.archlinux.org/CVE-2021-20228
Até a próxima !!
Nenhum comentário:
Postar um comentário