RHEL 8/9:Red Hat Ansible Automation Platform 2.5 產品安全性和錯誤修正更新 (重要) (RHSA-2026:3959)
high Nessus Plugin ID 301388
語言:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
遠端 Redhat Enterprise Linux 8 / 9 主機上安裝的套件受到 RHSA-2026:3959 公告中提及的多個弱點影響。Red Hat Ansible Automation Platform 提供企業架構,用於大規模構建、部署和管理 IT 自動化。IT 管理員可針對如何將自動化套用至個別團隊,提供自上而下的準則,自動化開發人員則可繼續自由撰寫利用現有知識的工作,而不會產生額外負荷。Ansible Automation Platform 可讓組織內的使用者透過簡單、功能強大且無代理程式的語言,共用、檢查和管理自動化內容。
安全性修正:
* automation-controllerwheelwheel透過惡意 wheel 檔案解壓縮的權限提升或任意程式碼執行 (CVE-2026-24049)
* automation-controllerpyasn1 的解碼器中有 DoS 弱點 (CVE-2026-23490)
* automation-gatewayReact Router 透過開放重新導向容易受到 XSS 影響 (CVE-2026-22029)
* python3.11-aiohttpAIOHTTP 的 HTTP 剖析器 auto_decompress 功能容易受到 zip 炸彈攻擊 (CVE-2025-69223)
* python3.11-djangoDjango透過 QuerySet.order_by() 中的特製欄別名進行 SQL 插入 (CVE-2026-1312)
* python3.11-djangoDjango透過特製欄別名造成 SQL 插入 (CVE-2026-1287)
* python3.11-djangoDjango透過特製 HTML 輸入造成拒絕服務 (CVE-2026-1285)
* python3.11-djangoDjango透過 RasterField 區域索引參數的 SQL 插入 (CVE-2026-1207)
* python3.11-djangoDjango透過具有重複標頭的特製要求造成拒絕服務 (CVE-2025-14550)
* python3.11-protobufPython Protobuf 中的拒絕服務 (CVE-2026-0994)
*接受者net/url 中的查詢參數剖析發生記憶體耗盡 (CVE-2025-61726)
如需安全性問題的詳細資料,包括影響、CVSS 評分、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。
包含的更新和修正:
* Python 已更新至 3.12 (AAP-56567)
重要所有使用者都必須下載最新版本的安裝程式。嘗試使用先前版本的安裝程式進行安裝或升級可導致失敗。
Automation Platform
* 對於 legacy_auth 端點OpenAPI 閘道規格現在已經正確 (AAP-63422)
* 修正一個防止使用者檢視包含冒號的完整調查問題選擇的錯誤 (AAP-66389)
* 已針對清單來源表單新增來源控制分支選項 (AAP-63544)
* automation-gateway 已更新至 2.5.20260225
自動化控制器
* 已將 token 驗證新增至 2.5 (AAP-65488)
* 修正工作清單端點不再載入工作成品進而改善效能 (AAP-63221)
* 啟用團隊的跨組織認證共用。這些變更是在舊版 RBAC 功能中進行 (AAP-54804)
* 已將 automation-controller 更新至 4.6.26
Automation hub
* 已更新 _ui/v2 endints以正確強制執行 RBAC 權限 (AAP-66638)
* 已新增一個靜態 OpenAPI 規格至galaxy其著重於使用者可呼叫的潛在端點 (AAP-66417)
* 已將 automation-hub 更新至 4.10.12
事件導向的 Ansible
* 覆寫 RQ 的預設活動訊號以呼叫 register_birth可在背景工作與 Redis 中斷連線的情況下允許背景工作重新註冊並且消除 Ghost 背景工作。此外將 rq 版本升級至 2.6.1這是較新且穩定的版本 (AAP-56872)
* automation-eda-controller 已更新至 1.1.16
容器型 Ansible Automation Platform
* 容器化安裝程式設定已更新至 2.5-22
RPM-based Ansible Automation Platform
* 修正在叢集模式下還原未正確產生 redis 之 SSL 憑證的問題 (AAP-60991)
* 已將 ansible-automation-platform-installer 和安裝程式設定更新至 2.5-21
其他變更:
* 已將 ansible-core 更新至 2.16.16
* 所有前置詞為 python3.11- 的 rpm 皆取代為前置詞為 python3.12- 的 rpm
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?de4ef659
http://www.nessus.org/u?8a5ccf41
https://bugzilla.redhat.com/show_bug.cgi?id=2427456
https://bugzilla.redhat.com/show_bug.cgi?id=2428412
https://bugzilla.redhat.com/show_bug.cgi?id=2430472
https://bugzilla.redhat.com/show_bug.cgi?id=2431959
https://bugzilla.redhat.com/show_bug.cgi?id=2432398
https://bugzilla.redhat.com/show_bug.cgi?id=2434432
https://bugzilla.redhat.com/show_bug.cgi?id=2436338
https://bugzilla.redhat.com/show_bug.cgi?id=2436339
https://bugzilla.redhat.com/show_bug.cgi?id=2436340
https://bugzilla.redhat.com/show_bug.cgi?id=2436341
https://bugzilla.redhat.com/show_bug.cgi?id=2436342
Plugin 詳細資訊
嚴重性: High
ID: 301388
檔案名稱: redhat-RHSA-2026-3959.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2026/3/7
已更新: 2026/3/7
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 4.4
Vendor
Vendor Severity: Important
CVSS v2
風險因素: Medium
基本分數: 6.4
時間性分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2026-22029
CVSS v3
風險因素: Medium
基本分數: 6.1
時間性分數: 5.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
風險因素: High
Base Score: 8.2
Threat Score: 6.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L
CVSS 評分資料來源: CVE-2026-0994
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-cli, p-cpe:/a:redhat:enterprise_linux:python3.12-aiohttp, p-cpe:/a:redhat:enterprise_linux:python3.12-django, p-cpe:/a:redhat:enterprise_linux:python3.12-protobuf, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:receptor, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:receptorctl, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:automation-controller, p-cpe:/a:redhat:enterprise_linux:automation-controller-server, p-cpe:/a:redhat:enterprise_linux:automation-controller-ui, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, p-cpe:/a:redhat:enterprise_linux:automation-gateway, p-cpe:/a:redhat:enterprise_linux:automation-gateway-config
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2026/3/6
弱點發布日期: 2026/1/5
參考資訊
CVE: CVE-2025-14550, CVE-2025-61726, CVE-2025-69223, CVE-2026-0994, CVE-2026-1207, CVE-2026-1285, CVE-2026-1287, CVE-2026-1312, CVE-2026-22029, CVE-2026-23490, CVE-2026-24049