偵測

MiracleLinux 4ipa-3.0.0-47.0.1.AXS4 (AXSA:2015-419:01)

medium Nessus Plugin ID 289793

語言:

概要

遠端 MiracleLinux 主機缺少一個或多個安全性更新。

說明

遠端 MiracleLinux 4 主機已安裝受到多個弱點影響的套件如 AXSA:2015-419:01 公告中所提及。

 IPA 是一種整合式解決方案可提供集中管理的身分 (電腦、使用者、虛擬機器、群組、驗證認證)、原則 (組態設定、存取控制資訊) 和稽核 (事件、記錄及其分析)。
 此版本修正的安全性問題
 CVE-2010-5312 在 1.10.0 之前的 jQuery UI 對話方塊小工具中jquery.ui.dialog.js 的跨網站指令碼 (XSS) 弱點允許遠端攻擊者透過標題選項插入任意 Web 指令碼或 HTML。
 CVE-2012-66621.10.0 在之前的 jQuery UI 中工具提示 Widget 內 jquery.ui.tooltip.js 的預設內容選項有跨網站指令碼 (XSS) 弱點其允許遠端攻擊者透過標題屬性 (即 版) 插入任意 Web 指令碼或 HTML。未在自動完成下拉式方塊示範中正確處理。
 修正的錯誤:
 * 在 FIPS-140 模式下的機器不支援 ipa-server-install、 ipa-replica-install 和 ipa-client-install 公用程式。先前 IdM 不會向使用者警告這個問題。現在此更新已修正該錯誤。
 * 如果在執行 ipa-client-install 公用程式時自動指定或發現 Active Directory (AD) 伺服器,此公用程式會產生一個反向追蹤,而不會通知使用者在這種情況下需要 IdM 伺服器。
 透過此更新該錯誤已獲得修正。
 * 之前,當 IdM 伺服器設為在 httpd 伺服器中需要 TLS 通訊協定 1.1 版 (TLSv1.1) 或更新版本時,ipa 公用程式會失敗。使用此更新後,ipa 的執行會如預期般搭配 TLSv1.1 或更新版本運作。
 * 在某些高負載環境下,IdM 用戶端安裝程式的 Kerberos 驗證步驟可能會失敗。之前,完整用戶端安裝會失敗。為修正此錯誤此更新將 ipa-client-install 修改為使用 TCP 通訊協定而非 UDP 通訊協定並在失敗時重試驗證嘗試。
 * 如果 ipa-client-install 更新或建立 /etc/nsswitch.conf 檔案,sudo 公用程式可能會因為分割錯誤而意外終止。現在,如果 ipa-client-install 修改檔案的最後一行,則會將一個新行字元放在 nsswitch.conf 的結尾,從而修正此錯誤。
 * 當 nsslapd-minssf Red Hat Directory Server 組態參數設為 1 時ipa-client-automount 公用程式會出現 UNWILLING_TO_PERFORM LDAP 錯誤而失敗。此更新已修正。
 * 如果在憑證授權單位 (CA) 安裝之後安裝 IdM 伺服器失敗ipa-server-install --uninstall 命令不會執行適當的清理。在使用者發出 ipa-server-install --uninstall 然後再次嘗試安裝伺服器之後安裝失敗。透過此更新該錯誤已獲得修正。
 * 執行 ipa-client-install 時即使已設定 sss 且檔案中存在該項目仍會將 sss 項目新增至 nsswitch.conf 中的 sudoers 行。接著重複的 sss 會造成 sudo 變得沒有回應。透過此更新該錯誤已獲得修正。
 * 執行 ipa-client-install 之後,在某些情況下無法使用 SSH 登入。現在ipa-client-install 不會再損毀 sshd_config 檔案因此 sshd 服務可如預期般啟動。
 * /usr/share/ipa/05rfc2247.ldif 檔案中的 dc 屬性定義錯誤會造成在移轉期間傳回假的錯誤訊息。此屬性已經修正但是如果在 Asianux Server 4 SP5 上執行 copy-schema-to-ca.py 指令碼之前先在 Asianux Server 4 SP4 上執行該指令碼則此錯誤仍然存在。透過此更新 可修正此問題。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://tsn.miraclelinux.com/en/node/5766

Plugin 詳細資訊

嚴重性: Medium

ID: 289793

檔案名稱: miracle_linux_AXSA-2015-419.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.8

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 4.3

時間性分數: 3.4

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2012-6662

CVSS v3

風險因素: Medium

基本分數: 6.1

時間性分數: 5.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:P/RL:O/RC:C

CVSS 評分資料來源: CVE-2010-5312

弱點資訊

CPE: p-cpe:/a:miracle:linux:ipa-client, p-cpe:/a:miracle:linux:ipa-server, p-cpe:/a:miracle:linux:ipa-server-trust-ad, p-cpe:/a:miracle:linux:ipa-server-selinux, p-cpe:/a:miracle:linux:ipa-python, p-cpe:/a:miracle:linux:ipa-admintools, cpe:/o:miracle:linux:4

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2015/8/13

弱點發布日期: 2012/11/26

參考資訊

CVE: CVE-2010-5312, CVE-2012-6662