RHEL 10 / 9 Red Hat Ansible Automation Platform 2.6 產品安全性和錯誤修正更新 (重要) (RHSA-2026:3958)
high Nessus Plugin ID 301326
語言:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
遠端 Redhat Enterprise Linux 10 / 9 主機已安裝受到多個弱點影響的套件如 RHSA-2026:3958 公告中所提及。Red Hat Ansible Automation Platform 提供企業架構,用於大規模構建、部署和管理 IT 自動化。IT 管理員可針對如何將自動化套用至個別團隊,提供自上而下的準則,自動化開發人員則可繼續自由撰寫利用現有知識的工作,而不會產生額外負荷。Ansible Automation Platform 可讓組織內的使用者透過簡單、功能強大且無代理程式的語言,共用、檢查和管理自動化內容。
安全性修正:
* automation-controllerwheelwheel透過惡意 wheel 檔案解壓縮的權限提升或任意程式碼執行 (CVE-2026-24049)
* automation-controllerpyasn1 的解碼器中有 DoS 弱點 (CVE-2026-23490)
* automation-platform-ui_.unset 和 _.omit 函式中的原型污染 (CVE-2025-13465)
* automation-platform-uiReact Router 有 XSS 弱點 (CVE-2025-59057)
* automation-platform-uiScrollRestoration 中的 React Router SSR XSS (CVE-2026-21884)
* automation-platform-uiReact Router 透過開放重新導向容易受到 XSS 影響 (CVE-2026-22029)
* python3.11-aiohttpAIOHTTP 的 HTTP 剖析器 auto_decompress 功能容易受到 zip 炸彈攻擊 (CVE-2025-69223)
* python3.11-djangoDjango透過 QuerySet.order_by() 中的特製欄別名進行 SQL 插入 (CVE-2026-1312)
* python3.11-djangoDjango透過特製欄別名造成 SQL 插入 (CVE-2026-1287)
* python3.11-djangoDjango透過特製 HTML 輸入造成拒絕服務 (CVE-2026-1285)
* python3.11-djangoDjango透過 RasterField 區域索引參數的 SQL 插入 (CVE-2026-1207)
* python3.11-djangoDjango透過具有重複標頭的特製要求造成拒絕服務 (CVE-2025-14550)
* python3.11-protobufPython Protobuf 中的拒絕服務 (CVE-2026-0994)
*接受者net/url 中的查詢參數剖析發生記憶體耗盡 (CVE-2025-61726)
如需安全性問題的詳細資料,包括影響、CVSS 評分、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。
包含的更新和修正:
* Python 已更新至 3.12 (AAP-56567)
重要所有使用者都必須下載最新版本的安裝程式。嘗試使用先前版本的安裝程式進行安裝或升級可導致失敗。
Automation Platform
* 修正組織系統管理員無法將權限委派給組織內物件的錯誤 (AAP-65081)
* 修正一個還原問題其中即使在部分移轉時也未如預期建立/更新功能旗標表格 (AAP-65815)
* automation-gateway 已更新至 2.6.20260225
Automation Platform UI
* 如果 Project 的來源控制分支遭到範本或範本排程覆寫現在排程詳細資料和排程編輯表單檢閱步驟中會顯示 (AAP-60920)
* 修正防止重新排序超過 50 個驗證對應的問題 (AAP-59119)
* automation-platform-ui 已更新至 2.6.6
自動化控制器
* 已修正 awx CLI modify 命令不會針對在特定資源上具有管理員角色但無權建立該類型新資源之使用者顯示可用欄位旗標的問題 (AAP-65813)
* 修正工作清單端點不再載入工作成品進而改善效能 (AAP-63489)
* 修正遺漏的 RoleUserAssignment openapi 配置元件 (AAP-60826)
* 已將 automation-controller 更新至 4.7.9
Automation hub
* 已更新 _ui/v2 endints 以正確強制執行 RBAC 權限 (AAP-66634)
* 已新增靜態 OpenAPI 規格至galaxy其著重於使用者可呼叫的潛在端點 (AAP-66415)
* 改善 Hub OpenAPI 規格的文件 (AAP-66412 和 AAP-66410)
* 已將 automation-hub 更新至 4.11.6
事件導向的 Ansible
* 新增 eda 外掛程式生命週期處理 (取代、重新導向、標記) (AAP-62721)
* 覆寫 RQ 的預設活動訊號以呼叫 register_birth可在背景工作與 Redis 中斷連線的情況下允許背景工作重新註冊並且消除 Ghost 背景工作。此外rq 版已更新至 2.6.1版其為較新且穩定的版本 (AAP-56872)
* 已將 ansible-rulebook 更新至 1.2.1
* automation-eda-controller 已更新至 1.2.6
容器型 Ansible Automation Platform
* 修正自動化閘道預檢檢查不再要求定義 ansible_host (AAP-65370)
* 接收器組態中的「/home/{{ ansible_user_id }}」路徑參照被 ansible_user_dir ansible fact 取代 (AAP-64452)
* 將 envoy 要求逾時從 1 秒增加到 5 秒 (AAP-64323)
* 新增嘗試取得 Automation 控制器狀態時的重試機制 (AAP-64291)
* 執行合併組織工作時停用 envoy 上的 TLS 不會再導致控制器連線錯誤 (AAP-62904)
* 已修正在 ansible 核心上啟用 jinja2 原生時的相容性 (AAP-62878)
* 將容器影像推送至 Automation 集線器登錄檔且 TLS 停用時移除 TLS 驗證 (AAP-62864)
* 更新了清單範例中的 URL 錨點以反映官方文件 (AAP-55780)
* 容器化安裝程式設定已更新至 2.6-6
RPM-based Ansible Automation Platform
* 特使要求逾時從 1 秒增加到 5 秒 (AAP-64008)
* 已將 ansible-automation-platform-installer 和安裝程式設定更新至 2.6-5
其他變更:
* 已將 ansible-core 更新至 2.16.16
* 所有前置詞為 python3.11- 的 rpm 皆取代為前置詞為 python3.12- 的 rpm
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?e0275401
http://www.nessus.org/u?89e9dbff
https://bugzilla.redhat.com/show_bug.cgi?id=2427456
https://bugzilla.redhat.com/show_bug.cgi?id=2428412
https://bugzilla.redhat.com/show_bug.cgi?id=2428421
https://bugzilla.redhat.com/show_bug.cgi?id=2428426
https://bugzilla.redhat.com/show_bug.cgi?id=2430472
https://bugzilla.redhat.com/show_bug.cgi?id=2431740
https://bugzilla.redhat.com/show_bug.cgi?id=2431959
https://bugzilla.redhat.com/show_bug.cgi?id=2432398
https://bugzilla.redhat.com/show_bug.cgi?id=2434432
https://bugzilla.redhat.com/show_bug.cgi?id=2436338
https://bugzilla.redhat.com/show_bug.cgi?id=2436339
https://bugzilla.redhat.com/show_bug.cgi?id=2436340
https://bugzilla.redhat.com/show_bug.cgi?id=2436341
https://bugzilla.redhat.com/show_bug.cgi?id=2436342
https://issues.redhat.com/browse/AAP-62864
Plugin 詳細資訊
嚴重性: High
ID: 301326
檔案名稱: redhat-RHSA-2026-3958.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2026/3/6
已更新: 2026/3/6
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.1
Vendor
Vendor Severity: Important
CVSS v2
風險因素: Medium
基本分數: 6.4
時間性分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2026-22029
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
風險因素: High
Base Score: 8.2
Threat Score: 6.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L
CVSS 評分資料來源: CVE-2026-0994
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-cli, cpe:/o:redhat:enterprise_linux:10, p-cpe:/a:redhat:enterprise_linux:automation-platform-ui, p-cpe:/a:redhat:enterprise_linux:python3.12-aiohttp, p-cpe:/a:redhat:enterprise_linux:python3.12-django, p-cpe:/a:redhat:enterprise_linux:python3.12-protobuf, p-cpe:/a:redhat:enterprise_linux:receptor, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:receptorctl, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:automation-controller, p-cpe:/a:redhat:enterprise_linux:automation-controller-server, p-cpe:/a:redhat:enterprise_linux:automation-controller-ui
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2026/3/6
弱點發布日期: 2026/1/5
參考資訊
CVE: CVE-2025-13465, CVE-2025-14550, CVE-2025-59057, CVE-2025-61726, CVE-2025-69223, CVE-2026-0994, CVE-2026-1207, CVE-2026-1285, CVE-2026-1287, CVE-2026-1312, CVE-2026-21884, CVE-2026-22029, CVE-2026-23490, CVE-2026-24049