偵測

RHEL 8/9:Red Hat Ansible Automation Platform 2.5 產品安全性和錯誤修正更新 (中等) (RHSA-2025:2518)

medium Nessus Plugin ID 232781

語言:

概要

遠端 Red Hat 主機缺少安全性更新。

說明

遠端 Redhat Enterprise Linux 8 / 9 主機上安裝的套件受到 RHSA-2025:2518 公告中提及的一個弱點影響。

 Red Hat Ansible Automation Platform 提供企業架構,用於大規模構建、部署和管理 IT 自動化。IT 管理員可針對如何將自動化套用至個別團隊,提供自上而下的準則,自動化開發人員則可繼續自由撰寫利用現有知識的工作,而不會產生額外負荷。Ansible Automation Platform 可讓組織內的使用者透過簡單、功能強大且無代理程式的語言,共用、檢查和管理自動化內容。

 安全性修正:

 * automation-gateway:由於不當模板字串處理導致 DOMPurify 中發生 Mutation XSS (CVE-2025-26791)

 如需安全性問題的詳細資料,包括影響、CVSS 評分、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。

 包含的更新和修正:

 Automation Platform
 * 已修正發生命名衝突時會使得某些資源類型無法同步的問題 (AAP-41241)
 * 已修正如果為出現命名衝突之團隊或組織成員的使用者將會登入失敗的問題 (AAP-41240)
 * 已修正使用者集合模組中以 state: present 執行時會造成堆疊追蹤的問題 (AAP-40887)
 * 已修正在升級期間無法為閘道管理員帳戶設定控制器管理員密碼的問題 (AAP-40839)
 * 已修正導致 SAML 驗證器更新忽略透過 UI 或 API 提供的更新公開認證,隨後失敗並出現訊息「認證和私密金鑰不符」的問題 (AAP-40767)
 * 允許服務使用 ServiceTokenAuth 從閘道要求 cloud.redhat.com 設定 (AAP-39649)
 * 已修正 ServiceAuthToken 破壞方法,以允許透過 ServiceAuth 的 HTTP 刪除以便正常運作 (AAP-37630)
 * automation-gateway 已更新至 2.5.20250312
 * 已將 python3.11-django-ansible-base 更新至 2.5.20250312

 自動化控制器
 * 已修正間接主機計數名稱,使其不記錄主機名稱,而是從查詢結果記錄 (AAP-41033)
 * 已修正 OpaClient,以便在逾時和重試後正確初始化 (AAP-40997)
 * 已在控制器中新增 Analytics 的服務帳戶憑證 (AAP-40769)
 * 已在 API 中新增 helper 方法,以便從 sso.redhat.com 擷取服務帳戶權杖 (AAP-39637)
 * 已將 automation-controller 更新至 4.6.9

 事件導向的 Ansible
 * 已修正第三方 python 程式庫的 ansible-rulebook 支援 (AAP-41341)
 * 已修改 ansible-rulebook 和 Event-Driven Ansible 的行為,以協助解決正確開始啟動被視為無回應並且排程重新啟動時的問題 (AAP-41070)
 * 已新增在 API 中編輯和複製規則手冊啟用的支援 (AAP-40254)
 * 規則手冊啟用的記錄訊息欄位已分為時間戳記和訊息欄位 (AAP-39743)
 * 已修正未能正確重新啟動啟用,並且出現錯誤訊息「缺少用於執行啟動的容器」的錯誤 (AAP-39545)
 * 事件資料流現在會使用安裝時設定的認證連線至 PostgreSQL (AAP-39294)
 * 使用者現在必須在複製憑證時提供使用者定義的名稱。新的憑證名稱必須是唯一的 (AAP-39079)
 * 已增強與決策環境相關的錯誤訊息 (AAP-38941)
 * 決策環境 URL 現已根據 OCI 規格進行驗證,以確保在提取影像時成功驗證容器登錄檔 (AAP-38822)
 * 已將 ansible-rulebook 更新至 1.1.3
 * 已將 automation-eda-controller 更新至 1.1.6

 Receptor:
 * 已修正 receptor 建立過多 inotify 程序,以及使用者會遇到過多開啟檔案錯誤的問題 (AAP-22605)
 * 已將 receptor 更新至 1.5.3

 容器型 Ansible Automation Platform
 * 已更正 Automation Hub 的 postinstall 程式碼中的 URL,以便使用閘道代理伺服器 URL (AAP-41306)
 * 已棄用變數 eda_main_url 和 hub_main_url,轉為採用閘道代理伺服器 URL (AAP-41306)
 * 現在會在所有自動化控制器節點之間建立 Receptor 網狀連線 (AAP-41102)
 * 已修正與容器群組執行個體類型相關的 Receptor 設定 (AAP-40431)
 * 已修正在 EDA 狀態驗證期間隱藏錯誤的行為 (AAP-40021)
 * 確認已安裝 polkit RPM 套件,以便啟用使用者持續 (AAP-39860)
 * 容器化安裝程式設定已更新至 2.5-11

 RPM-based Ansible Automation Platform
 * 已修正 fcontext 規則變更時 SELinux 未重新標籤的問題 (AAP-40489)
 * 已修正未正確設定 Automation Hub 中託管的執行環境和決策環境的憑證的問題 (AAP-40419)
 * 已修正因未能正確設定 Automation Hub 中託管 ansible 集合的憑證,導致專案無法同步的問題 (AAP-40418)
 * Managed CA 現在能夠在發現安裝、備份和還原期間正確指派符合條件的群組 (AAP-40277)
 * 已實施使用設定指令碼收集 sosreport 的引數 (AAP-40085)
 * EDA 啟動記錄現在是透過 journald 驅動程式提供 (AAP-39745)
 * 已將 ansible-automation-platform-installer 和安裝程式設定更新至 2.5-9

 其他變更:
 * 已將 ansible-creator 更新至 25.0.0
 * 已將 ansible-dev-environment 更新至 25.1.0
 * 已將 ansible-dev-tools 更新至 25.2.0
 * 已將 ansible-lint 更新至 25.1.2
 * 已將 ansible-navigator 更新至 25.1.0
 * 已將 automation-hub 更新至 4.10.2
 * 已將 molecule 更新至 25.2.0
 * 已將 python3.11-ansible-compat 更新至 25.1.2
 * 已將 python3.11-galaxy-importer 更新至 0.4.28
 * 已將 python3.11-galaxy-ng 更新至 4.10.2
 * 已將 python3.11-jsonschema-path 更新至 0.3.4
 * 已將 python3.11-podman 更新至 5.2.0
 * 已將 python3.11-pytest-ansible 更新至 25.1.0
 * 已將 python3.11-referencing 更新至 0.36.2
 * 已將 python3.11-tox-ansible 更新至 25.1.0
 * 已將 python3.11-typing-extensions 更新至 4.9.0

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 automation-gateway-server 套件。

另請參閱

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=2345695

http://www.nessus.org/u?54804c74

https://access.redhat.com/errata/RHSA-2025:2518

Plugin 詳細資訊

嚴重性: Medium

ID: 232781

檔案名稱: redhat-RHSA-2025-2518.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2025/3/15

已更新: 2025/6/5

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.0

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Low

基本分數: 2.6

時間性分數: 1.9

媒介: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:N

CVSS 評分資料來源: CVE-2025-26791

CVSS v3

風險因素: Medium

基本分數: 4.5

時間性分數: 3.9

媒介: CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, cpe:/o:redhat:enterprise_linux:8, cpe:/o:redhat:enterprise_linux:9

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2025/3/10

弱點發布日期: 2025/2/14

參考資訊

CVE: CVE-2025-26791

CWE: 79

RHSA: 2025:2518