低危 “用户” 模块中的信息泄露

CVE编号

CVE-2018-16837

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-10-24
漏洞描述
Ansible“用户”模块泄漏任何数据,这是作为一个参数传递给ssh-keygen。这可能会出现不希望出现的情况,比如作为参数传递给ssh-keygen可执行文件的密码短语凭证。将这些凭证以明文的形式显示给每个可以访问进程列表的用户。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
http://lists.opensuse.org/opensuse-security-announce/2019-04/msg00021.html
http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00077.html
http://lists.opensuse.org/opensuse-security-announce/2019-08/msg00020.html
http://www.securityfocus.com/bid/105700
https://access.redhat.com/errata/RHSA-2018:3460
https://access.redhat.com/errata/RHSA-2018:3461
https://access.redhat.com/errata/RHSA-2018:3462
https://access.redhat.com/errata/RHSA-2018:3463
https://access.redhat.com/errata/RHSA-2018:3505
https://access.redhat.com/security/cve/cve-2018-16837
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-16837
https://lists.debian.org/debian-lts-announce/2018/11/msg00012.html
https://usn.ubuntu.com/4072-1/
https://www.debian.org/security/2019/dsa-4396
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 redhat ansible_engine 2.0 -
运行在以下环境
应用 redhat ansible_engine 2.5 -
运行在以下环境
应用 redhat ansible_engine 2.6 -
运行在以下环境
应用 redhat ansible_engine 2.7 -
运行在以下环境
应用 redhat ansible_tower 3.3.0 -
运行在以下环境
应用 suse package_hub - -
运行在以下环境
系统 alpine_3.8 ansible * Up to
(excluding)
2.5.11-r0
运行在以下环境
系统 alpine_3.9 ansible * Up to
(excluding)
2.7.1-r0
运行在以下环境
系统 debian_10 ansible * Up to
(excluding)
2.7.1+dfsg-1
运行在以下环境
系统 debian_11 ansible * Up to
(excluding)
2.7.1+dfsg-1
运行在以下环境
系统 debian_12 ansible * Up to
(excluding)
2.7.1+dfsg-1
运行在以下环境
系统 fedora_EPEL_6 ansible * Up to
(excluding)
2.6.7-1.el6
运行在以下环境
系统 opensuse_Leap_15.0 ansible * Up to
(excluding)
2.8.1-bp150.3.9.1
运行在以下环境
系统 opensuse_Leap_15.1 ansible * Up to
(excluding)
2.8.1-bp150.3.9.1
运行在以下环境
系统 opensuse_Leap_15.3 ansible * Up to
(excluding)
2.9.21-bp153.2.3.1
运行在以下环境
系统 opensuse_Leap_42.3 ansible * Up to
(excluding)
2.8.1-12.1
运行在以下环境
系统 ubuntu_16.04 ansible * Up to
(excluding)
2.0.0.2-2ubuntu1.3
运行在以下环境
系统 ubuntu_18.04 ansible * Up to
(excluding)
2.5.1+dfsg-1ubuntu0.1
阿里云评分
2.6
  • 攻击路径
    本地
  • 攻击复杂度
    复杂
  • 权限要求
    普通权限
  • 影响范围
    有限影响
  • EXP成熟度
    未验证
  • 补丁情况
    官方补丁
  • 数据保密性
    无影响
  • 数据完整性
    无影响
  • 服务器危害
    无影响
  • 全网数量
    100
CWE-ID 漏洞类型
CWE-311 敏感数据加密缺失
阿里云安全产品覆盖情况