偵測

RHEL 8/9:Red Hat Ansible Automation Platform 2.5 產品安全性和錯誤修正更新 (重要) (RHSA-2025:0340)

medium Nessus Plugin ID 214232

語言:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

遠端 Redhat Enterprise Linux 8 / 9 主機上安裝的套件受到 RHSA-2025:0340 公告中提及的多個弱點影響。

 Red Hat Ansible Automation Platform 提供企業架構,用於大規模構建、部署和管理 IT 自動化。IT 管理員可針對如何將自動化套用至個別團隊,提供自上而下的準則,自動化開發人員則可繼續自由撰寫利用現有知識的工作,而不會產生額外負荷。Ansible Automation Platform 可讓組織內的使用者透過簡單、功能強大且無代理程式的語言,共用、檢查和管理自動化內容。

 安全性修正:
 * automation-controller:Oracle 上 HasKey(lhs, rhs) 中潛在的 SQL 插入攻擊弱點 (CVE-2024-53908)
 * automation-controller:django.utils.html.strip_tags() 中潛在的拒絕服務弱點 (CVE-2024-53907)
 *automation-controller:透過 gRPC-C++ 中的資料損毀造成拒絕服務 (CVE-2024-11407)
 * automation-gateway:nanoid 會不當處理非整數值 (CVE-2024-55565)
 * python3.11-aiohttp:由於未正確剖析區塊延伸模組,aiohttp 容易遭受要求走私攻擊 (CVE-2024-52304)

 如需安全性問題的詳細資料,包括影響、CVSS 分數、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。

 包含的更新和修正:

 Platform
 * 修復導覽表單精靈時偶爾發生的「找不到」錯誤 (AAP-37495)
 * 修復 ID_KEY 屬性未正確用於判斷社交驗證管道中的使用者名稱欄位的問題 (AAP-38300)
 * 修復 X-DAB-JW-TOKEN 標頭訊息會溢流記錄的問題 (AAP-38169)
 * 修復驗證器可建立使用者 ID 並傳回無效 authenticator_uid 的問題 (AAP-38021)
 * 將狀態 API「/api/gateway/v1/status/」從 JSON 中的服務屬性增強為陣列 (AAP-37903)
 * 修復下載 OpenAPI 結構描述檔案時私密金鑰會以純文字顯示的問題。
 注意:這不是閘道使用的私密金鑰,而是隨機預設金鑰 (AAP-37843)

 自動化控制器
 * 新增「job_lifecycle」作為記錄器中的選項以向外傳送,並將「organization_id」欄位新增至與工作相關的記錄中 (AAP-37537)
 * 修復「host_metric_summary_monthly」工作中反向追蹤日期比較不符的問題 (AAP-37487)
 * 修復將計數設為非零值的排程工作,使其不再意外執行 (AAP-37290)
 * 修復透過閘道對「/api/controller/login/」執行的 POST 作業,使其不再會導致嚴重錯誤 (AAP-37235)
 * 修復專案「requirements.yml」的行為,使其不再還原為叢集中之前的狀態 (AAP-37228)
 * 修復在開始工作之前建立事件磁碟分割表格時,由於快速啟動大量工作,偶爾會發生的錯誤 (AAP-37227)
 * 修復 named URL,使其在啟動工作範本時不再傳回 404 錯誤碼 (AAP-37025)
 * 更新了接收器,以便節點上的工作完成後清理暫時的接收器檔案 (AAP-36904)
 * 修復透過閘道對「/api/controller/login/」執行的 POST 作業,使其不再會導致嚴重錯誤 (AAP-33911)
 * 已將 automation-controller 更新至 4.6.6

 容器型 Ansible Automation Platform
 * 修復所提供的增長清單檔案範例可造成安裝在低資源系統上停止的問題 (AAP-38372)
 * 修復增長拓撲安裝中控制器的節流容量可導致效能降低的問題 (AAP-38207)
 * 修復在預檢角色執行期間未驗證接收器 TLS 憑證內容的問題,確保 x509 主體別名 (SAN) 欄位包含所需的 ISO 物件識別碼 (OID) (AAP-37880)
 * 現在會在預檢角色執行期間驗證 TLS 憑證和金鑰檔案 (AAP-37845)
 * 修復預檢角色執行期間未驗證 Postgresql SSL 模式變數的問題 (AAP-37352)
 * 容器化安裝程式設定已更新至 2.5-8

 RPM-based Ansible Automation Platform
 * 修復將新的自動化集線器主機新增至升級後的環境而導致安裝失敗的問題 (AAP-38204)
 * 修復安裝程式 README.md 中文件連結損毀的問題 (AAP-37627)
 * 更新了 nginx 設定,現在可正確傳回 Event-Driven Ansible 事件資料流服務的 API 狀態 (AAP-32816)
 * ansible-automation-platform-installer 和安裝程式設定已更新至 2.5-7

 其他變更:
 * 於 RHEL 8 上安裝 ansible-core 時不會再安裝 python3-jmespath (AAP-18251)
 * 已將 ansible-core 更新至 2.16.14-2
 * automation-gateway 已更新至 2.5.20250115
 * 已將 python3.11-aiohttp 及其相依性更新至 3.10.11
 * 已將 python3.11-django-ansible-base 更新至 2.5.20250115
 * 已將 python3.11-galaxy-importer 更新至 0.4.27
 * 已將 python3.11-pulpcore 更新至 3.49.29

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 automation-controller-venv-tower、automation-gateway-server 和/或 python3.11-aiohttp 套件。

另請參閱

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2327130

https://bugzilla.redhat.com/show_bug.cgi?id=2329003

https://bugzilla.redhat.com/show_bug.cgi?id=2329287

https://bugzilla.redhat.com/show_bug.cgi?id=2329288

https://bugzilla.redhat.com/show_bug.cgi?id=2331063

http://www.nessus.org/u?30b348d8

https://access.redhat.com/errata/RHSA-2025:0340

Plugin 詳細資訊

嚴重性: Medium

ID: 214232

檔案名稱: redhat-RHSA-2025-0340.nasl

版本: 1.3

類型: local

代理程式: unix

已發布: 2025/1/15

已更新: 2025/7/24

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 6.7

Vendor

Vendor Severity: Important

CVSS v2

風險因素: Critical

基本分數: 10

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2024-53908

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

風險因素: Medium

Base Score: 6.9

Threat Score: 3.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:P/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H

CVSS 評分資料來源: CVE-2024-11407

弱點資訊

CPE: cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:python3.11-aiohttp

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/1/15

弱點發布日期: 2024/11/18

參考資訊

CVE: CVE-2024-11407, CVE-2024-52304, CVE-2024-53907, CVE-2024-53908, CVE-2024-55565

CWE: 1169, 444, 682, 835, 89

RHSA: 2025:0340