漏洞信息详情

Ansible 不安全临时文件创建漏洞

• CNNVD编号：CNNVD-201309-064
• 危害等级： 低危
  
• CVE编号： CVE-2013-4260
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2013-08-18
• 威胁类型： 本地
• 更新时间： 2013-09-25
• 厂        商： ansibleworks
• 漏洞来源： Michael Scherer

漏洞简介

Ansible是美国Ansible公司的一款计算机系统配置管理器，它可用于发布、管理和编排计算机系统。

Ansible 1.2.3以前的1.2.x版本中的lib/ansible/playbook/__init__.py文件中存在不安全临时文件创建漏洞，程序在/var/tmp/ansible/目录下创建文件时使用可预测文件名。在播放列表因错误停止运行的情况下，本地攻击者可利用该漏洞在重试文件实施符号链接攻击以提升的权限覆盖任意文件。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

https://bugzilla.redhat.com/show_bug.cgi?id=998227

参考网址

来源: groups.Google.com

链接:https://groups.Google.com/forum/#!topic/ansible-project/UVDYW0HGcNg

来源: bugzilla.redhat.com

链接:https://bugzilla.redhat.com/show_bug.cgi?id=998227

来源: XF

名称: ansible-cve20134260-symlink(86898)

链接:http://xforce.iss.net/xforce/xfdb/86898

来源: BID

名称: 62130

链接:http://www.securityfocus.com/bid/62130

受影响实体

• Ansibleworks Ansible:1.2.1  
• Ansibleworks Ansible:1.2.2  
• Ansibleworks Ansible:1.2  
• Redhat Ansible:1.2.2  
• Redhat Ansible:1.2.1  

补丁

暂无