RHEL 8/9:Red Hat Ansible Automation Platform 2.5 產品安全性和錯誤修正更新 (中等) (RHSA-2024:10766)

low Nessus Plugin ID 212045

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

遠端 Redhat Enterprise Linux 8/9 主機上安裝的套件受到 RHSA-2024:10766 公告中提及的多個弱點影響。

Red Hat Ansible Automation Platform 提供企業架構,用於大規模構建、部署和管理 IT 自動化。IT 管理員可針對如何將自動化套用至個別團隊,提供自上而下的準則,自動化開發人員則可繼續自由撰寫利用現有知識的工作,而不會產生額外負荷。Ansible Automation Platform 可讓組織內的使用者透過簡單、功能強大且無代理程式的語言,共用、檢查和管理自動化內容。

安全性修正:

* automation-controller:由於未正確剖析區塊延伸模組,aiohttp 容易遭受要求走私攻擊 (CVE-2024-52304)

如需安全性問題的詳細資料,包括影響、CVSS 分數、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。

包含的更新和修正:

自動化控制器
* 修正 rrule 間隔設為 HOURLY 或 MINUTELY 時,在錯誤時間執行的工作排程 (AAP-36572)
* 修正可將不相關工作標記為其他工作相依性的錯誤 (AAP-35309)
* 在預設的 containergroup pod 規格中納入 pod 反關聯性設定,以最佳化方式分散工作負載 (AAP-35055)
* 更新了 uWSGI 的次要版本以取得更新後的記錄字詞 (AAP-33169)
* 已將 automation-controller 更新至 4.6.3

Receptor
* 修正造成 Receptor 執行階段不穩定錯誤的問題 (AAP-36476)
* 已將 receptor 更新至 1.5.1

容器型 Ansible Automation Platform
* 更新後,您無法在使用受管理的資料庫節點時變更 postgresql_admin_username 的值 (AAP-36577)
* 新增 PCP 監控角色的更新支援 (AAP-36576)
* 透過此更新,系統會使用容器映像中的 ID 和 Image 欄位,而非 Digest 和 ImageDigest 來觸發容器更新 (AAP-36575)
* 停用 proxy 設定中的平台閘道驗證,以防止控制平面關閉時出現 HTTP 502 錯誤 (AAP-36484)
* 透過此更新,您可以為 Redis 群組使用專用節點 (AAP-36480)
* 已修正停用 Automation Gateway 上的 TLS 會導致安裝失敗的問題 (AAP-35966)
* 已修正平台閘道解除安裝時會將容器 systemd 單元檔案保留在磁碟上的問題 (AAP-35329)
* 已修正停用 Automation Gateway proxy 上的 TLS 會導致安裝失敗的問題 (AAP-35145)
* 透過此更新,您現在可以更新 Event-Driven Ansible 憑證中的登錄 URL 值 (AAP-35085)
* 已修正當 hub_collection_signing=false 但 hub_container_signing=true 時自動化集線器容器簽署服務建立失敗的問題 (AAP-34977)
* 已修正接收器容器的 HOME 環境變數會造成容器化執行節點產生權限遭拒錯誤的問題 (AAP-34945)
* 已修正在設定多個集線器節點時未正確設定 GPG 代理程式通訊端,導致 /var/tmp/pulp 中未建立 GPG 通訊端檔案的問題 (AAP-34815)
* 透過此更新,您現在可以在初始部署後變更自動化閘道連接埠的值 (AAP-34813)
* 透過此更新,在記憶體設定較大的系統上增加了 kernel.keys.maxkeys 和 kernel.keys.maxbytes 設定 (AAP-34019)
* 已新增 ansible_connection=local 至 inventory-growth 檔案,並闡明其使用方式 (AAP-34016)
* 容器化安裝程式設定已更新至 2.5-6

RPM-based Ansible Automation Platform
* 現在可以使用 'receptor_datadir' 變數設定 Receptor 資料目錄 (AAP-36697)
* 停用 proxy 設定中的平台閘道驗證,以允許在控制平面關閉時存取 UI (AAP-36667)
* 已修正更新自動化控制器後,metrics-utility 命令無法執行的問題 (AAP-36486)
* 修正資料庫中斷數分鐘後,分派程式服務進入 FATAL 狀態且無法處理新工作的問題 (AAP-36457)
* 修正 /etc/tower/uwsgi.ini 檔案的所有者和群組權限 (AAP-35765)
* 透過此更新,您現在可以更新 Event-Driven Ansible 憑證中的登錄 URL 值 (AAP-35162)
* 已修正 inventory 檔案中未定義 eda_node_type 時會導致備份失敗的問題 (AAP-34730)
* 已修正 inventory 檔案中未定義 routable_hostname 時會導致復原失敗的問題 (AAP-34563)
* 透過此更新,inventory-grow 檔案現在包含在 ansible- automation-platform-installer 中 (AAP-33944)
* ansible-automation-platform-installer 和安裝程式設定已更新至 2.5-6

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 automation-controller-venv-tower、receptor 和/或 receptorctl 套件。

另請參閱

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=2327130

http://www.nessus.org/u?c7fc0e06

https://access.redhat.com/errata/RHSA-2024:10766

Plugin 詳細資訊

嚴重性: Low

ID: 212045

檔案名稱: redhat-RHSA-2024-10766.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2024/12/4

已更新: 2025/3/10

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 5.4

時間性分數: 4

媒介: CVSS2#AV:N/AC:H/Au:N/C:N/I:C/A:N

CVSS 評分資料來源: CVE-2024-52304

CVSS v3

風險因素: Medium

基本分數: 6.5

時間性分數: 5.7

媒介: CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2024-53259

CVSS v4

風險因素: Low

Base Score: 1.7

Threat Score: 1.7

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

弱點資訊

CPE: cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:receptor, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:receptorctl, cpe:/o:redhat:enterprise_linux:8

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/12/3

弱點發布日期: 2024/11/18

參考資訊

CVE: CVE-2024-52304, CVE-2024-53259

CWE: 345, 444

RHSA: 2024:10766