偵測

RHEL 9 Red Hat Ansible Automation Platform 2.6 產品安全性和錯誤修正更新 (重要) (RHSA-2025:23070)

critical Nessus Plugin ID 278140

語言:

概要

遠端 Red Hat 主機缺少安全性更新。

說明

遠端 Redhat Enterprise Linux 9 主機上安裝的多個套件受到 RHSA-2025:23070 公告中提及的一個弱點影響。

 Red Hat Ansible Automation Platform 提供企業架構,用於大規模構建、部署和管理 IT 自動化。IT 管理員可針對如何將自動化套用至個別團隊,提供自上而下的準則,自動化開發人員則可繼續自由撰寫利用現有知識的工作,而不會產生額外負荷。Ansible Automation Platform 可讓組織內的使用者透過簡單、功能強大且無代理程式的語言,共用、檢查和管理自動化內容。

 安全性修正:

 * automation-controllerDjango SQL 插入 (CVE-2025-64459)
 * python3.11-djangoDjango SQL 插入 (CVE-2025-64459)

 如需安全性問題的詳細資料,包括影響、CVSS 評分、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。

 包含的更新和修正:

 Automation Platform
 * IPv6 和 IPv4/IPv6 雙堆疊支援現在預設為啟用 (AAP-58923)
 * 修正一個可能透過 /api/eda/ 或 /api/controller/ 端點指派權限時發生的伺服器錯誤 (AAP-58622)
 * automation-gateway 已更新至 2.6.20251210
 * 已將 python3.11-django-ansible-base 更新至 2.6.20251210

 Automation Platform UI
 * 已修正工作範本在刪除相關專案後無法保持編輯狀態的問題 (AAP-58467)
 * 修正工作詳細資料頁面上的專案狀態更新連結損毀的錯誤 (AAP-57215)
 * 修正從 [概覽] 頁面存取時[關於] 頁面中缺少品牌標誌的問題 (AAP-57133)
 * 修正角色頁面中的資源類型篩選器未正確依資源類型篩選的問題 (AAP-56691)
 * 修正自動觸發專案更新時「啟動者」欄位在 UI 中顯示空白的問題 (AAP-56643)
 * 已更新劇本選取下拉式清單以在專案中只有一個劇本時自動選取一個劇本 (AAP-56279)
 * 修正 Inventory 來源中遺漏來源控制 Branch 選項的問題 (AAP-56149)
 * 驗證器標籤已從「Azuread」更新為「Azure AD」(AAP-55677)
 * 修正一個錯誤此錯誤若使用 ansible.controller 集合在無預設值的情況下建立調查則調查的編輯表單不會顯示在 UI 中 (AAP-51548)
 * 已改善驗證器對應詳細資料的標籤和描述 (AAP-51295)
 * 已修正 Remotes 和 Remote Registries 的描述 (AAP-49838)
 * 已新增來源控制分支至 Project Sync Job 詳細資料 (AAP-49450)
 * 修正私人自動化集線器的卡片檢視中集合超連結損毀的問題 (AAP-49006)
 * 修正搜尋功能在新增主機至群組時無法縮小結果範圍的問題 (AAP-47510)
 * 針對可讀性改善自訂登入文字並允許 HTML 標記例如連結 (AAP-47462)
 * 修正未在「新增現有主機」對話方塊中依主機名稱篩選未正常運作的問題 (AAP-45534)
 * 修正來自通知的工作流程工作範本輸出的 url (AAP-43796)
 * 搜尋篩選器現可在主機清單內的任何頁面上運作 (AAP-42679)
 * 修正從 Project 或 Inventory 建立新範本並不會自動填入 Project 欄位的問題 (AAP-41725)
 * 修正當使用者擁有權限時範本索引標籤上的權限遭拒訊息誤導的問題 (AAP-40800)
 * 修正詳細資料頁面中的存放庫 URL 錯誤 (AAP-40160)
 * 已修正一個問題的最小長度值可設定為大於最大長度值的調查驗證問題 (AAP-39932)
 * 修正評估文字長度時將文字視為數字的調查驗證問題 (AAP-39931)
 * 修正一個使用者無法為建構的清單同步建立排程的問題 (AAP-38660)
 * 已修正編輯或建立排程時未儲存調查答案的問題 (AAP-37923)
 * 修正一個導致無法編輯排程中執行個體群組的錯誤 (AAP-37872)
 * 針對核取方塊僅簽署的集合和同步自動化集線器的所有相依性引入選項區段 (AAP-36592)
 * 新增一個關於在自動化集線器的存放庫之外同步相依性的資訊訊息 (AAP-36592)
 * 已修正概覽和詳細資料檢視之間工作時間戳記不一致的問題 (AAP-36588)
 * 修正預設未在「建立認證」表單中勾選 verify_ssl 核取方塊的問題 (AAP-33889)
 * 已更新額外 vars 欄位中大量數字的格式設定 (AAP-31805)
 * automation-platform-ui 已更新至 2.6.4

 自動化控制器
 * 新增 x-ai-description 至控制器配置以為每個端點提供 AI 易懂的描述 (AAP-59819)
 * 修正長時間執行工作中的 Redis 管道中斷錯誤 (AAP-59728)
 * 修正 GitHub 應用程式安裝存取權杖查閱以接受 Iv2 用戶端 ID (AAP-58880)
 * 將控制器更新為現在在同步已啟用「允許分支覆寫」的專案時會使用強制旗標 (AAP-58533)
 * 接收器集合已升級至 2.0.8版其與 RHEL 10 相容 (AAP-58421)
 * 更新 OpenAPI Specification 的多個層面支援 MCP VP (AAP-53640)
 * 已將 automation-controller 更新至 4.7.6

 Automation hub
 * 自動完成屬性新增至 Automation Hub API 密碼欄位 (AAP-59910)
 * 當啟用 API 存取記錄時自動化集線器升級繼續進行 (AAP-59886)
 * 修正具有 Team Admin 角色的使用者之驗證失敗 (AAP-58898)
 * 已將 automation-hub 更新至 4.11.4
 * 已將 python3.11-galaxy-importer 更新至 0.4.36
 * 已將 python3.11-galaxy-ng 更新至 4.11.4

 事件導向的 Ansible
 * 新增 x-ai-description 至 EDA 端點以供 AAP MCP 伺服器消耗 (AAP-58431)
 * automation-eda-controller 已更新至 1.2.3

 容器型 Ansible Automation Platform
 * 已修正因同名的過期已結束容器仍存在而解除安裝/重新安裝接收器作業無法開始的問題 (AAP-59609)
 * 根據系統資源為執行 AAP 服務容器的使用者設定 podman PID 限制、針對 inotify 和核心金鑰設定 sysctls以及設定 ulimit nofile (AAP-59438)
 * 容器化安裝程式設定已更新至 2.6-4

 其他變更
 * 現已提供適用於 RHEL 10 的 Ansible 開發工具
 * ansible-builder 已更新至 3.1.1
 * 已將 ansible-creator 更新至 25.12.0
 * 已將 ansible-dev-environment 更新至 25.12.2
 * 已將 ansible-dev-tools 更新至 25.12.0
 * 已將 ansible-lint 更新至 25.12.0
 * 已將 ansible-navigator 更新至 25.12.0
 * ansible-sign 已更新至 0.1.4
 * bindep 已更新至 2.13.0
 * 已將 molecule 更新至 25.12.0
 * 已將 python3.11-ansible-compat 更新至 25.12.0
 * python3.11-distlib 已更新至 0.4.0
 * 已將 python3.11-django 更新至 4.2.26
 * python3.11-execnet 已更新至 2.1.2
 * python3.11-gunicorn 已更新至 23.0.0
 * python3.11-pluggy 已更新至 1.6.0
 * python3.11-pytest 已更新至 9.0.1
 * 已將 python3.11-pytest-ansible 更新至 25.12.0
 * python3.11-pytest-xdist 已更新至 3.8.0
 * python3.11-ruamel-yaml-clib 已更新至 0.2.15
 * python3.11-subprocess-tee 已更新至 0.4.2
 * 已將 python3.11-tox-ansible 更新至 25.12.0
 * 已將 python3.11-typing-extensions 更新至 4.15.0

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 automation-controller-venv-tower 和/或 python3.11-django 套件。

另請參閱

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2412651

http://www.nessus.org/u?49c58108

https://access.redhat.com/errata/RHSA-2025:23070

Plugin 詳細資訊

嚴重性: Critical

ID: 278140

檔案名稱: redhat-RHSA-2025-23070.nasl

版本: 1.1

類型: local

代理程式: unix

已發布: 2025/12/10

已更新: 2025/12/10

支援的感應器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.7

Vendor

Vendor Severity: Important

CVSS v2

風險因素: High

基本分數: 9.4

時間性分數: 7.4

媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 評分資料來源: CVE-2025-64459

CVSS v3

風險因素: Critical

基本分數: 9.1

時間性分數: 8.2

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:python3.11-django, cpe:/o:redhat:enterprise_linux:9

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2025/12/10

弱點發布日期: 2025/11/5

參考資訊

CVE: CVE-2025-64459

CWE: 89

RHSA: 2025:23070