RHEL 5 : ipa-client (RHSA-2013:0189)

medium Nessus Plugin ID 63676

語系：

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 5 的更新版 ipa-client 套件，可修正一個安全性問題。

Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat Identity Management 是一種適用於傳統和雲端型企業環境的集中驗證、身份管理和授權解決方案。

初次嘗試加入 IPA 網域時，在 IPA 用戶端與 IPA 伺服器通訊的方式中發現弱點。由於加入時無法以安全的方式，將 IPA 伺服器的憑證授權單位 (CA) 憑證提供給用戶端，因此 IPA 用戶端註冊處理程序容易遭受攔截式攻擊。此瑕疵可允許攻擊者使用 IPA 用戶端所提供的認證取得 IPA 伺服器的存取權，其中包含整個網域的管理存取權 (如以系統管理員的認證執行加入)。(CVE-2012-5484)

注意：因為 IPA 用戶端尚未取得伺服器的 CA 憑證，只有用戶端初次加入該領域時才會暴露此弱點。一旦 IPA 用戶端加入該領域，並取得 IPA 伺服器的 CA 憑證，所有後續通訊皆可安全進行。如果用戶端使用動態密碼 (OTP) 方法加入該領域，攻擊者便僅可對伺服器進行無權限存取 (只加入該領域已足夠)。

Red Hat 要感謝 Petr Menšík 報告此問題。

已將此瑕疵之修正套用至用戶端，但尚未套用至伺服器時，若本機沒有正確的 CA 憑證 (請注意，您必須使用「--force」選項以不安全的方式取得憑證)，ipa-client-install (在無人看管模式下) 便會失敗。在互動模式下，系統會嘗試以安全的方式從 LDAP 取得憑證。如果失敗，系統便會提示您以不安全的方式透過 HTTP 下載憑證。使用 OTP 時，如發生相同情況，系統並不會向 LDAP 查詢，而會提示您以不安全的方式透過 HTTP 下載憑證。

建議 ipa-client 使用者升級至此更新版套件，以更正此問題。