製品・ソフトウェアに関する情報
Vulnerability Search
Ansible の lxc_container モジュールの create_script 関数における任意のファイルに書き込まれる脆弱性
Title Ansible の lxc_container モジュールの create_script 関数における任意のファイルに書き込まれる脆弱性
Summary

Ansible の lxc_container モジュールの create_script 関数には、任意のファイルに書き込まれる、または権限を取得される脆弱性が存在します。

Possible impacts ローカルユーザにより、以下へのシンボリックリンク攻撃を介して、任意のファイルに書き込まれる、または権限を取得される可能性があります。  (1) archive_path ディレクトリ内の /opt/.lxc-attach-script (2) archive_path ディレクトリ内のアーカイブされたコンテナ (3) 一時ディレクトリ内の lxc-attach-script.log ファイル (4) 一時ディレクトリ内の lxc-attach-script.err ファイル
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date April 15, 2016, midnight
Registration Date June 8, 2016, 3:41 p.m.
Last Update June 8, 2016, 3:41 p.m.
CVSS3.0 : 重要
Score 7.8
Vector CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
CVSS2.0 : 危険
Score 7.2
Vector AV:L/AC:L/Au:N/C:C/I:C/A:C
Affected System
Fedora Project
Fedora 22
Fedora 23
Fedora 24
Ansible
Ansible 1.9.6-1 未満
Ansible 2.0.2.0 未満の 2.x
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2016年06月08日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2016-3096
Summary

The create_script function in the lxc_container module in Ansible before 1.9.6-1 and 2.x before 2.0.2.0 allows local users to write to arbitrary files or gain privileges via a symlink attack on (1) /opt/.lxc-attach-script, (2) the archived container in the archive_path directory, or the (3) lxc-attach-script.log or (4) lxc-attach-script.err files in the temporary directory.

Publication Date June 3, 2016, 11:59 p.m.
Registration Date Jan. 26, 2021, 2:10 p.m.
Last Update Nov. 21, 2024, 11:49 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:o:fedoraproject:fedora:22:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:24:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:23:*:*:*:*:*:*:*
Configuration2 or higher or less more than less than
cpe:2.3:a:redhat:ansible:*:*:*:*:*:*:*:* 1.9.6
cpe:2.3:a:redhat:ansible:2.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:ansible:2.0.1:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List