Vigil@nce - Ansible : élévation de privilèges via lxc_container.py
juin 2016 par Vigil@nce
Ce bulletin a été rédigé par Vigil@nce : https://vigilance.fr/offre
SYNTHÈSE DE LA VULNÉRABILITÉ
Un attaquant local peut utiliser lxc_container.py de Ansible, afin
d’élever ses privilèges.
– Produits concernés : Ansible Core, Fedora.
– Gravité : 2/4.
– Date création : 26/04/2016.
DESCRIPTION DE LA VULNÉRABILITÉ
Le produit Ansible dispose d’un module LXC (LinuX Container).
Cependant, le fichier cloud/lxc/lxc_container.py créé un script
suid root, dont le contenu est modifiable par l’utilisateur.
Un attaquant local peut donc utiliser lxc_container.py de Ansible,
afin d’élever ses privilèges.
ACCÈS AU BULLETIN VIGIL@NCE COMPLET
https://vigilance.fr/vulnerabilite/Ansible-elevation-de-privileges-via-lxc-container-py-19460