RHEL 8/9:Red Hat Ansible Automation Platform 2.5 產品安全性和錯誤修正更新 (中等) (RHSA-2024:11145)

medium Nessus Plugin ID 213128

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:11145 公告中提及的多個弱點影響。

Red Hat Ansible Automation Platform 提供企業架構,用於大規模構建、部署和管理 IT 自動化。IT 管理員可針對如何將自動化套用至個別團隊,提供自上而下的準則,自動化開發人員則可繼續自由撰寫利用現有知識的工作,而不會產生額外負荷。Ansible Automation Platform 可讓組織內的使用者透過簡單、功能強大且無代理程式的語言,共用、檢查和管理自動化內容。

安全性修正:

* ansible-core:在 Ansible-Core 中發生透過 hostvars 物件不安全的標記繞過 (CVE-2024-11079)
* automation-gateway:AAP 的 OAuth2 Token 範圍處理不當 2.5 (CVE-2024-11483)

如需安全性問題的詳細資料,包括影響、CVSS 分數、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。

包含的更新和修正:

Automation Platform UI
* 新增按標籤篩選工作範本、工作和清單的支援 (AAP-36540)
* 已修正移除建立範本的使用者後無法開啟作業範本的問題 (AAP-35820)
* 已修正清單來源更新失敗且不允許選取清單檔案的問題 (AAP-35246)
* 已修正登入重新導向覆寫設定遺漏且未如預期運作的問題 (AAP-33295)
* 已停用私密認證欄位的自動完成 (AAP-33188)
* 已修正可能導致在定義排程時,使用者能夠選取需要密碼的認證的問題 (AAP-32821)
* 已修正建立團隊角色頁面中的導覽團隊 -> 角色 -> eda 的問題,先前在加入新的團隊角色之後不會產生作用。(AAP-31873)
* 將 Ansible Remote 設定與其他伺服器的集合同步時,只有從 Galaxy 同步需要需求檔案,否則會是選用項目。若無需求檔案,所有集合都會同步 (AAP-31238)
* 已修正除非切換索引標籤,否則工作輸出不會顯示的問題 (AAP-31125)
* 已修正當選取超過 4 個權限時,會大量移除所選角色權限消失的問題 (AAP-28030)

事件導向的 Ansible
* 已修正專案同步在空白或非結構化 git 儲存庫中不會失效的問題 (AAP-35777)
* 已修正在集合中倘若找不到規則手冊、專案、決策環境或組織時,啟動模組會失敗並顯示誤導錯誤訊息的問題 (AAP-35360)
* 已修正規則手冊具有重複規則名稱時規則手冊驗證匯入/同步失敗的問題 (AAP-35164)
* 已新增驗證,確認指定為容器登錄認證一部分的主機是否符合容器登錄標準 (AAP-34969)
* 已修正 Event Driven Ansible API 允許變更認證類型的問題 (AAP-34968)
* 已修正先前失敗的專案在重新同步後可能意外變更為已完成的問題 (AAP-34744)
* 已修正當專案並未包含任何規則手冊時未記錄任何訊息的問題 (AAP-34555)
* 已修正將多個 Red Hat Ansible Automation Platform 認證附加至啟動項的問題 (AAP-34025)
* 已修正 EDA_EVENT_STREAM_BASE_URL 設定變更時未更新事件資料流 url 欄位的問題 (AAP-33819)
* 延伸 log_level 和 debug 設定的範圍 (AAP-33669)
* 已修正名為 Default 的組織存在有錯誤相依性的問題 (AAP-33551)
* 專案現可與 Event Driven Ansible 集合模組同步 (AAP-32264)
* 已修正在準備好接收事件之前,偶爾會將啟動項報告為執行中的問題 (AAP-31225)
* 已修正啟用選項在規則手冊啟用詳細資料頁面上有自己的捲軸的問題 (AAP-31130)
* 已新增「purge_log_records」至 aap-eda-manage,以清理過時的資料庫記錄 (AAP-30684)
* 已修正在重新啟動後,啟用狀態偶爾會與最新執行個體狀態不一致的問題 (AAP-29755)
* 已修正使用者在建立 Event Driven Ansible 自訂認證時無法編輯自動產生的插入器變數的問題 (AAP-29752)
* 已修正從非現有分支匯入專案時會導致產生已完成狀態而非已失敗狀態的問題 (AAP-29144)
* 已修正在某些情況下,Event Driven Ansible 集合中的 file_watch 來源 plugin 會引發 QueueFull 例外狀況的問題 (AAP-29139)
* 在規則手冊啟動建立表單中,必須先選取專案,之後才能選取規則手冊 (AAP-28082)
* 無論是否有任何現有的認證,現在都可以看到「建立認證」按鈕 (AAP-23707)
* automation-eda-controller 已更新至 1.1.3
* ansible-rulebook 已更新至 1.1.2

容器型 Ansible Automation Platform
* 已修正允許 Automation 控制器節點覆蓋 receiver_peers 變數的問題 (AAP-37085)
* 已修正容器化安裝程式忽略自動化控制器主機的 receiver_type ,並且一律將其安裝為混合型的問題 (AAP-37012)
* 已修正 Podman 不存在於工作容器,且清理影像工作失敗的問題 (AAP-37011)
* 已修正在預檢角色執行期間略過 receptor_type 和 receptor_protocol 變數驗證檢查的問題 (AAP-36857)
* 已修正使用 Execution/Hop 節點對等只有設定一個 Automation 控制器節點而非所有 Automation 控制器節點的問題 (AAP-36851)
* 已修正 Automation Controller 服務與資料庫失去連接,然後容器停止且從未自動重新啟動的問題 (AAP-36850)
* 容器化安裝程式設定已更新至 2.5-7

其他變更:
* 已經將說明文字新增至 AAP API 閘道和 django-ansible-base 中所有遺漏的欄位 (AAP-37068)
* 一致格式化 help_text 的語句結構,並在模糊的說明文字中提供更多內容。一致格式化 help_text 的語句結構,並在模糊的說明文字中提供更多內容 (AAP-37016)
* 修正遺漏移轉的問題 (AAP-37015)
* 已修正 django-ansible-base 後援快取會持續建立 tmp 檔案 (即使 LOCATION 設為其他路徑) 的問題 (AAP-36869)
* 已修正不允許 OIDC 驗證器使用 JSON 金鑰擷取使用者群組,或者不允許透過新的 GROUPS_CLAIM 組態設定修改使用者的問題 (AAP-36716)
* 已修正閘道 oauth 權杖在休止時未加密的問題 (AAP-36715)
* 已新增閘道中 http_ports 的更多使用者輸入驗證 (AAP-36714)
* 已修正 Gateway 未正確解譯 SAML 屬性以進行對應的問題 (AAP-36713)
* 新增設定 'trusted_header_timeout_in_ns' 至 djanbo-ansible-base 程式庫中的 timegate X_TRUSTED_PROXY_HEADER 驗證 (AAP-36712)
* 已新增自動化分析使用量的動態偏好設定 (AAP-36710)
* 已新增「enabled」旗標,以便開啟或關閉驗證器對應 (AAP-36709)
* 允許在 SAML 驗證器組態中使用非自我簽署的憑證+金鑰組 (AAP-36707)
* 若已登入,則將登入頁面重新導向至 /api/gateway/v1 (AAP-36638)
* 已將 aap-metrics-utility 更新至 0.4.1 (AAP-36393)
* 已將 ansible-core 更新至 2.16.14
* automation-gateway 已更新至 2.5.20241218
* python3.11-django-ansible-base 已更新至 2.5.20241218

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 ansible-core 和 / 或 automation-gateway-server 套件。

另請參閱

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=2325171

https://bugzilla.redhat.com/show_bug.cgi?id=2327579

http://www.nessus.org/u?8949240d

https://access.redhat.com/errata/RHSA-2024:11145

Plugin 詳細資訊

嚴重性: Medium

ID: 213128

檔案名稱: redhat-RHSA-2024-11145.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2024/12/18

已更新: 2024/12/18

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.0

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 4.6

時間性分數: 3.4

媒介: CVSS2#AV:N/AC:H/Au:S/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2024-11079

CVSS v3

風險因素: Medium

基本分數: 5.5

時間性分數: 4.8

媒介: CVSS:3.0/AV:N/AC:H/PR:L/UI:R/S:C/C:L/I:L/A:L

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:ansible-core, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, cpe:/o:redhat:enterprise_linux:8, cpe:/o:redhat:enterprise_linux:9

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2024/12/16

弱點發布日期: 2024/11/11

參考資訊

CVE: CVE-2024-11079, CVE-2024-11483

CWE: 20, 284

RHSA: 2024:11145