NVD脆弱性詳細

CVE-2020-1736

概要	A flaw was found in Ansible Engine when a file is moved using atomic_move primitive as the file mode cannot be specified. This sets the destination files world-readable if the destination file does not exist and if the file exists, the file could be changed to have less restrictive permissions before the move. This could lead to the disclosure of sensitive data. All versions in 2.7.x, 2.8.x and 2.9.x branches are believed to be vulnerable.
公表日	2020年3月17日1:15
登録日	2021年1月26日11:54
最終更新日	2024年11月21日14:11

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:redhat:cloudforms_management_engine:5.0:::::::*
cpe:2.3:a:redhat:ansible_tower::::::::		3.3.4
cpe:2.3:a:redhat:ansible_tower::::::::	3.6.0	3.6.3
cpe:2.3:a:redhat:ansible_tower::::::::	3.5.0	3.5.5
cpe:2.3:a:redhat:ansible_tower::::::::	3.3.5	3.4.5
cpe:2.3:a:redhat:ansible::::::::		2.7.16
cpe:2.3:a:redhat:openstack:13:::::::*
cpe:2.3:a:redhat:ansible_tower::::::::	3.7.0	3.7.2
cpe:2.3:a:redhat:ansible::::::::	2.8.0			2.8.15
cpe:2.3:a:redhat:ansible::::::::	2.9.0			2.9.13

関連情報、対策とツール

No	URL	タグ
1	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1736	Issue Tracking Vendor Advisory
2	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1736	Issue Tracking Vendor Advisory
3	https://github.com/ansible/ansible/issues/67794	Exploit Issue Tracking Third Party Advisory
4	https://github.com/ansible/ansible/issues/67794	Exploit Issue Tracking Third Party Advisory
5	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2NYYQP2XJB2TTRP6AKWVMBSPB2DFJNKD/
6	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2NYYQP2XJB2TTRP6AKWVMBSPB2DFJNKD/
7	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BPNZWBAUP4ZHUR6PO7U6ZXEKNCX62KZ7/
8	https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/BPNZWBAUP4ZHUR6PO7U6ZXEKNCX62KZ7/
9	https://security.gentoo.org/glsa/202006-11	Third Party Advisory
10	https://security.gentoo.org/glsa/202006-11	Third Party Advisory

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-732	重要なリソースに対する不適切なパーミッションの割り当て	https://cwe.mitre.org/data/definitions/732.html

JVN脆弱性情報

Ansible Engine における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性

タイトル	Ansible Engine における重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性
概要	Ansible Engine には、重要なリソースに対する不適切なパーミッションの割り当てに関する脆弱性が存在します。
想定される影響	情報を取得される可能性があります。
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2020年2月12日0:00
登録日	2020年4月3日11:48
最終更新日	2020年4月3日11:48

影響を受けるシステム

レッドハット

Ansible 2.7.x

Ansible 2.8.x

Ansible 2.9.x

Ansible Tower

Red Hat CloudForms Management Engine

Red Hat OpenStack

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2020-1736	https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-1736
National Vulnerability Database (NVD)
2	CVE-2020-1736	https://nvd.nist.gov/vuln/detail/CVE-2020-1736

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-732	https://cwe.mitre.org/data/definitions/732.html

ベンダー情報

No	名前	URL
GitHub
1	The default permissions used by atomic_move create files that are world readable #67794	https://github.com/ansible/ansible/issues/67794
Red Hat Bugzilla
2	Bug 1802124	https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2020-1736

変更履歴

No	変更内容	変更日
1	[2020年04月03日] 掲載	2020年4月3日11:48