CentOS 7:ipa (CESA-2015:0442)

medium Nessus Plugin ID 81897

概要

遠端 CentOS 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 7 的更新版 ipa 套件,可修正兩個安全性問題、數個錯誤,並新增多個增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Red Hat Identity Management (IdM) 是一種適用於傳統和雲端型企業環境的集中式驗證、身分管理和授權解決方案。

在 jQuery 中發現兩個跨網站指令碼 (XSS) 瑕疵,這會影響 Identity Management Web 系統管理員介面,並可能會允許經過驗證的使用者在介面中插入任意 HTML 或 Web 指令碼。(CVE-2010-5312、CVE-2012-6662)

注意:此更新提供的 IdM 版本不再使用 jQuery。

有關此更新新增之數個增強功能的詳細資訊,請參閱〈參照〉一節中的「Red Hat Enterprise Linux 7.1 版本資訊」連結,包括:

* 新增‘ipa-cacert-manage’命令,更新了憑證授權單位 (CA) 檔案。(BZ#886645)

* 新增 [ID 檢視] 功能。(BZ#891984)

* IdM 現可支援使用單次密碼 (OTP) 驗證,並允許從專利 OTP 解決方案逐漸移轉至 IdM OTP 解決方案。(BZ#919228)

* 新增「ipa-backup」和「ipa-restore」命令,允許手動備份。(BZ#951581)

* 新增解決方案,規範 IdM 伺服器特定區段的存取權限。(BZ#976382)

此更新還修正了數個錯誤,包括:

* 在先前的版本中,當 IdM 伺服器設為在 httpd 伺服器中需要傳輸層安全性通訊協定版本 1.1 (TLSv1.1) 或更新版本時,’ipa’命令行公用程式會故障。透過此更新,執行中的’ipa’可如預期與 TLSv1.1 或更新版本搭配使用。
(BZ#1156466)

此外,此更新還新增了多個增強功能,包括:

* ‘ipa-getkeytab’公用程式現可斟酌從 KDC 擷取現有的 keytab。在先前的版本中,不支援擷取現有的 keytab,因為產生新金鑰是唯一的選項。
(BZ#1007367)

* 您現可在 IdM 伺服器上建立並管理「.」root 區域。傳送至 IdM DNS 伺服器的 DNS 查詢會使用這個已配置的區域,而非公開區域。(BZ#1056202)

* IdM 伺服器 Web UI 已經更新,現在是以 Patternfly 架構為基礎,可提供更好的回應能力。(BZ#1108212)

* 新的使用者屬性現可允許佈建系統,以便新增使用者物件的自訂標籤。標籤可用於自動成員規則或額外的本機解譯。(BZ#1108229)

* 此更新新增 DNS 區域類型,確保前區和主區能夠適當地分離。因此,IdM DNS 介面會符合 BIND 中的前區語意。(BZ#1114013)

* 此更新新增一組 Apache 模組,可讓外部應用程式用來與 IdM 在簡單驗證之外達到更緊密的互動。(BZ#1107555)

* IdM 支援設定自動成員規則,根據使用者或主機的特性 ( 'userClass' 或 'departmentNumber' 屬性),在各自的群組中對其進行自動化指派。之前的規則只能套用至新項目。此更新允許將規則也套用至現有的使用者或主機。(BZ#1108226)

* extdom 外掛程式會將 Active Directory (AD) 使用者和群組的安全性識別碼 (SID) 轉譯為名稱和 POSIX ID。透過此更新,extdom 會傳回完整的群組成員清單,以及使用者、GECOS 欄位、主目錄和使用者登入 Shell 的完整群組成員清單。此外,如果有 SID 可用,選用機碼值組清單會包含要求物件的 SID。(BZ#1030699)

建議所有 ipa 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式,並新增這些增強功能。

解決方案

更新受影響的 ipa 套件。

另請參閱

http://www.nessus.org/u?6cfcd67b

Plugin 詳細資訊

嚴重性: Medium

ID: 81897

檔案名稱: centos_RHSA-2015-0442.nasl

版本: 1.8

類型: local

代理程式: unix

已發布: 2015/3/18

已更新: 2021/1/4

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.8

CVSS v2

風險因素: Medium

基本分數: 4.3

時間分數: 3.2

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2010-5312

弱點資訊

CPE: p-cpe:/a:centos:centos:ipa-admintools, p-cpe:/a:centos:centos:ipa-client, p-cpe:/a:centos:centos:ipa-python, p-cpe:/a:centos:centos:ipa-server, p-cpe:/a:centos:centos:ipa-server-trust-ad, cpe:/o:centos:centos:7

必要的 KB 項目: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/3/17

弱點發布日期: 2014/11/24

參考資訊

CVE: CVE-2010-5312, CVE-2012-6662

RHSA: 2015:0442