Scientific Linux 安全性更新：SL6.x i386/x86_64 上的 ipa

medium Nessus Plugin ID 61188

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

此 Identity Management Application 是一種同時適用於傳統和雲端型企業環境的集中式驗證、身分管理和授權解決方案。其整合了 Upstream Directory Server、MIT Kerberos、Upstream Certificate System、NTP 和 DNS 的元件。它提供網頁瀏覽器和命令行介面。其管理工具允許系統管理員快速安裝、設定及管理一組網域控制器，以達到大規模 Linux 與 UNIX 部署之驗證和身分識別管理要求。

在此套件中發現一個跨網站要求偽造 (CSRF) 瑕疵。如果遠端攻擊者可誘騙已登入管理 Web 介面的使用者造訪特製的 URL，便能以該登入使用者的權限執行組態變更。(CVE-2011-3636)

由於修正 CVE-2011-3636 所需的變更，將需要更新用戶端工具，以便讓用戶端系統與更新的伺服器通訊。新的用戶端系統必須註冊已安裝的更新版 ipa-client 套件。已註冊的用戶端系統必須安裝更新版 certmonger 套件，才能更新其系統憑證。請注意，系統憑證的有效期限預設為兩年。

這項更新包括數個錯誤修正。因空間所限，無法在此公告中記錄所有這些變更。

此軟體的使用者應升級至這些更新版套件，其可更正這些問題。

已將數個其他套件新增至安全性存放庫，因此可在舊版 SL 系統上安裝此套件。