Informazioni sul CVE-2023-4237
Platform: ec2_key module prints out the private key directly to the standard output
CWE ID: CWE-497
Base Score (CVSS): N/A
CVE: CVE-2023-4237
Descrizione: A flaw was found in the Ansible Automation Platform. When creating a new keypair, the ec2_key module prints out the private key directly to the standard output. This flaw allows an attacker to fetch those keys from the log files, compromising the system’s confidentiality, integrity, and availability.
Vettore di attacco CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Local, Privilegi: Low, Interazione utente: Required, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | L | Local | L’attaccante deve avere accesso locale al sistema. |
| Attack Complexity (AC) | L | Low | L’attacco non richiede condizioni particolari. |
| Privileges Required (PR) | L | Low | Richiede pochi privilegi. |
| User Interaction (UI) | R | Required | È richiesta l’interazione di un utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://access.redhat.com/errata/RHBA-2023:5653
- https://access.redhat.com/errata/RHBA-2023:5666
- https://access.redhat.com/security/cve/CVE-2023-4237
- https://bugzilla.redhat.com/show_bug.cgi?id=2229979
Prodotti interessati
- Red Hat – Red Hat Ansible Automation Platform 2.4 for RHEL 8
- Red Hat – Red Hat Ansible Automation Platform 2.4 for RHEL 8
- Red Hat – Red Hat Ansible Automation Platform 2.4 for RHEL 9
- Red Hat – Red Hat Ansible Automation Platform 2.4 for RHEL 9
Relazioni con altri prodotti
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.4 for RHEL 8
Anno: 2023
CWE: CWE-497
CVSS: 0.0
Produttore:Red Hat
Prodotto: Red Hat Ansible Automation Platform 2.4 for RHEL 9
Anno: 2023
CWE: CWE-497
CVSS: 0.0