Podatność CVE-2021-3533


Publikacja: 2021-06-09

Opis:
A flaw was found in Ansible if an ansible user sets ANSIBLE_ASYNC_DIR to a subdirectory of a world writable directory. When this occurs, there is a race condition on the managed machine. A malicious, non-privileged account on the remote machine can exploit the race condition to access the async result data. This flaw affects Ansible Tower 3.7 and Ansible Automation Platform 1.2.

Typ:

CWE-367

(Time-of-check Time-of-use (TOCTOU) Race Condition)

CVSS2 => (AV:L/AC:H/Au:N/C:P/I:N/A:N)

Ogólna skala CVSS
Znaczenie
Łatwość wykorzystania
1.2/10
2.9/10
1.9/10
Wymagany dostęp
Złożoność ataku
Autoryzacja
Lokalny
Wysoka
Nie wymagana
Wpływ na poufność
Wpływ na integralność
Wpływ na dostępność
Częściowy
Brak
Brak
Affected software
Redhat -> Ansible automation platform 
Redhat -> Ansible tower 
Redhat -> Ansible engine 
Redhat -> Enterprise linux 
Redhat -> Openstack-rdo 
Fedoraproject -> Fedora 

 Referencje:
https://bugzilla.redhat.com/show_bug.cgi?id=1956477

Copyright 2022, cxsecurity.com

 

Back to Top