Oracle Linux 8：389-ds:1.4 (ELSA-2024-3047)

medium Nessus Plugin ID 198016

語系：

概要

遠端 Oracle Linux 主機缺少安全性更新。

說明

遠端 Oracle Linux 8 主機上安裝的套件受到 ELSA-2024-3047 公告中提及的一個弱點影響。

[1.4.3.39-3]
- 升級版本至 1.4.3.39-3
- 解決：RHEL-19240 - RFE 透過設定項目，新增 PROXY 通訊協定支援至 389-ds-base - 類似於 Postfix

[1.4.3.39-2]
- 升級版本至 1.4.3.39-2
- 解決：RHEL-23209 - CVE-2024-1062 389-ds:1.4/389-ds-base：寫入大於 256 個字元的值時，出現導致拒絕服務的堆積溢位 (在 log_entry_attr 中)
- 解決：RHEL-5390 - 利用自動成員重建 schema-compat-plugin 的成本過高
- 解決：RHEL-5135 - 內容同步外掛程式的 sync_update_persist_op() 中發生當機

[1.4.3.39-1]
- 升級版本至 1.4.3.39-1
- 解決：RHEL-19028 - 將 RHEL 8.10 中的 389-ds-base 重定基底至 1.4.3.39
- 解決：RHEL-19240 - [RFE] 新增 PROXY 通訊協定支援至 389-ds-base
- 解決：RHEL-5143 - 在 ipa 安裝/卸載期間看到的 dirsrv 檔案的 SELinux 標籤應移至 DEBUG。
- 解決：RHEL-5107 - bdb_start - 偵測到無序關閉的目錄伺服器未啟動
- 解決：RHEL-16338 - slapi_attr_basetype 中的 ns-slapd 損毀
- 解決：RHEL-14025 - 升級後，如果 dse.ldif 檔案中存在 nsslapd-conntablesize，LDAP 伺服器將不會啟動。

[1.4.3.38-1]
- 升級版本至 1.4.3.38-1
- 解決：RHEL-19028 - 將 RHEL 8.10 中的 389-ds-base 重定基底至 1.4.3.38

[1.4.3.37-1]
- 升級版本 1.4.3.37-1
- 解決：rhbz#2224505 - 分頁搜尋會影響效能
- 解決：rhbz#2220890 - 必須更新健康檢查工具才能使用新的預設密碼儲存配置
- 解決：rhbz#2218235 - python3-lib389：需要變更 Python tarfile 擷取才能避免出現警告
- 解決：rhbz#2210491 - dtablesize 設為軟性 maxfiledescriptor 限制會導致在大型環境中發生大幅減速。
- 解決：rhbz#2149967 - 在 ipa 安裝/卸載期間看到的 dirsrv 檔案的 SELinux 標籤應移至 DEBUG

[1.4.3.36-2]
- 升級版本至 1.4.3.36-2
- 解決：rhbz#2220890 - 必須更新健康檢查工具才能使用新的預設密碼儲存配置

[1.4.3.36-1]
- 升級版本至 1.4.3.36-1
- 解決：rhbz#2188628 - 將 RHEL 8.9 中的 389-ds-base 重定基底至 1.4.3.36

[1.4.3.35-1]
- 升級版本至 1.4.3.35-1
- 解決：rhbz#2188628 - 將 RHEL 8.9 中的 389-ds-base 重定基底至 1.4.3.35

[1.4.3.32-1]
- 升級版本至 1.4.3.32-1
- 解決：錯誤 2098138 - rhds11 中的 nsslapd-subtree-rename-switch 選項損毀
- 解決：錯誤 2119063 - entryuuid 修正工作因 entryUUID 不可變而失敗
- 解決：錯誤 2136610 - [RFE] 新增「cn」屬性至 IPA 稽核記錄
- 解決：錯誤 2142638 - pam mutex 鎖定造成高 etime，進而影響 red hat 內部 sso
- 解決：錯誤 2096795 - [RFE] 支援 TLS 的 ECDSA 私密金鑰

Tenable 已直接從 Oracle Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://linux.oracle.com/errata/ELSA-2024-3047.html

Plugin 詳細資訊

嚴重性: Medium

ID: 198016

檔案名稱: oraclelinux_ELSA-2024-3047.nasl

版本: 1.1

類型: local

代理程式: unix

系列: Oracle Linux Local Security Checks

已發布: 2024/5/28

已更新: 2024/5/28

支援的感應器: Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 4.6

時間分數: 3.4

媒介: CVSS2#AV:L/AC:L/Au:S/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2024-1062

CVSS v3

風險因素: Medium

基本分數: 5.5

時間分數: 4.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/a:oracle:linux:8:10:appstream_base, p-cpe:/a:oracle:linux:python3-lib389, p-cpe:/a:oracle:linux:389-ds-base-legacy-tools, p-cpe:/a:oracle:linux:389-ds-base-snmp, cpe:/o:oracle:linux:8, p-cpe:/a:oracle:linux:389-ds-base-libs, p-cpe:/a:oracle:linux:389-ds-base, p-cpe:/a:oracle:linux:389-ds-base-devel, cpe:/a:oracle:linux:8::appstream

必要的 KB 項目: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/5/24

弱點發布日期: 2024/2/12

參考資訊

CVE: CVE-2024-1062