漏洞信息详情
Ansible lxc_container模块安全漏洞
- CNNVD编号:CNNVD-201606-130
- 危害等级: 高危
- CVE编号: CVE-2016-3096
- 漏洞类型: 后置链接
- 发布时间: 2016-06-06
- 威胁类型: 本地
- 更新时间: 2016-06-06
- 厂 商: fedoraproject
- 漏洞来源:
漏洞简介
Ansible是美国Ansible公司的一款计算机系统配置管理器,它可用于发布、管理和编排计算机系统。
Ansible 1.9.6-1之前的版本和2.0.2.0之前的2.x版本中的lxc_container模块中的‘create_script’函数存在安全漏洞。本地攻击者可通过向临时目录下的多个文件实施符号链接攻击利用该漏洞写入任意文件或获取权限。(文件包括:/opt/.lxc-attach-script,archive_path/archived container,lxc-attach-script.log,lxc-attach-script.err)
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://github.com/ansible/ansible/blob/v2.0.2.0-1/CHANGELOG.md#202-over-the-hills-and-far-away
参考网址
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183132.HTML
来源:github.com
链接:https://github.com/ansible/ansible/blob/v2.0.2.0-1/CHANGELOG.md#202-over-the-hills-and-far-away
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183103.HTML
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2016-May/184175.HTML
来源:github.com
链接:https://github.com/ansible/ansible/blob/v1.9.6-1/CHANGELOG.md#196-dancing-in-the-street---tbd
来源:bugzilla.redhat.com
链接:https://bugzilla.redhat.com/show_bug.cgi?id=1322925
来源:MLIST
链接:https://groups.Google.com/forum/#!topic/ansible-announce/tqiZbcWxYig
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183252.HTML
来源:FEDORA
链接:http://lists.fedoraproject.org/pipermail/package-announce/2016-April/183274.HTML
来源:github.com
链接:https://github.com/ansible/ansible-modules-extras/pull/1941/commits/8c6fe646ee79f5e55361b885b7efed5bec72d4a4
来源:github.com
链接:https://github.com/ansible/ansible-modules-extras/pull/1941
来源:MLIST
链接:https://groups.Google.com/forum/#!topic/ansible-announce/E80HLZilTU0
受影响实体
- Fedoraproject Fedora:24
- Fedoraproject Fedora:23
- Fedoraproject Fedora:22
补丁
- Ansible lxc_container模块安全漏洞的修复措施
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论