RHEL 6 : ipa (RHSA-2015:1462)
medium Nessus Plugin ID 84953
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat Enterprise Linux 6 的更新版 ipa 套件,可修正兩個安全性問題和數個錯誤。Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。
Red Hat Identity Management (IdM) 是一種適用於傳統和雲端型企業環境的集中式驗證、身分管理和授權解決方案。
在 jQuery 中發現兩個跨網站指令碼 (XSS) 瑕疵,這會影響 Identity Management Web 系統管理員介面,並可能會允許經過驗證的使用者在介面中插入任意 HTML 或 Web 指令碼。(CVE-2010-5312、CVE-2012-6662)
注意:此更新提供的 IdM 版本不再使用 jQuery。
錯誤修正:
* 在 FIPS-140 模式下的機器不支援 ipa-server-install、 ipa-replica-install 和 ipa-client-install 公用程式。
先前 IdM 不會向使用者警告這個問題。現在,IdM 不允許在 FIPS-140 模式下執行這些公用程式,而且會顯示一條說明訊息。(BZ#1131571)
* 如果在執行 ipa-client-install 公用程式時自動指定或發現 Active Directory (AD) 伺服器,此公用程式會產生一個反向追蹤,而不會通知使用者在這種情況下需要 IdM 伺服器。現在,ipa-client-install 會偵測 AD 伺服器,並在失敗時顯示說明訊息。(BZ#1132261)
* 之前,當 IdM 伺服器設為在 httpd 伺服器中需要 TLS 通訊協定 1.1 版 (TLSv1.1) 或更新版本時,ipa 公用程式會失敗。
使用此更新後,ipa 的執行會如預期般搭配 TLSv1.1 或更新版本運作。
(BZ#1154687)
* 在某些高負載環境下,IdM 用戶端安裝程式的 Kerberos 驗證步驟可能會失敗。之前,完整用戶端安裝會失敗。此更新會將 ipa-client-install 修改為優先使用 TCP 通訊協定而非 UDP 通訊協定,並在失敗時重試驗證。
(BZ#1161722)
* 如果 ipa-client-install 更新或建立 /etc/nsswitch.conf 檔案,sudo 公用程式可能會因為分割錯誤而意外終止。現在,如果 ipa-client-install 修改檔案的最後一行,則會將一個新行字元放在 nsswitch.conf 的結尾,從而修正此錯誤。(BZ#1185207)
* 當 nsslapd-minssf Red Hat Directory Server 組態參數設為「1」時,ipa-client-automount 公用程式會因為 'UNWILLING_TO_PERFORM' LDAP 錯誤而失敗。此更新會修改 ipa-client-automount,預設為 LDAP 搜尋使用加密連線,因此即使已指定 nsslapd-minssf,該公用程式現在還是會成功完成。(BZ#1191040)
* 如果在憑證授權單位 (CA) 安裝之後安裝 IdM 伺服器失敗,'ipa-server-install --uninstall' 命令不會執行適當清除。在使用者發出「ipa-server-install --uninstall」,然後嘗試再次安裝伺服器之後,安裝將會失敗。現在,「ipa-server-install --uninstall」會在
所述情況下移除與 CA 相關的檔案,因此 ipa-server-install 不會再出現所提及的錯誤訊息並失敗。(BZ#1198160)
* 執行 ipa-client-install 時,即使已經設定「sss」,而且檔案中存在「sss」項目,還是會將該項目加入至 nsswitch.conf 中的 sudoers 行。接著,重複的「sss」會使 sudo 變成沒有回應。現在,如果 nsswitch.conf 中已存在「sss」,ipa-client-install 就不會再加入「sss」。(BZ#1198339)
* 執行 ipa-client-install 之後,在某些情況下無法使用 SSH 登入。現在,ipa-client-install 不再會損毀 sshd_config 檔案,因此 sshd 服務可以如預期般啟動,並可在所述情況下使用 SSH 登入。(BZ#1201454)
* /usr/share/ipa/05rfc2247.ldif 檔案中的 dc 屬性定義錯誤會造成在移轉期間傳回假的錯誤訊息。此屬性已經修正,但是如果在 Red Hat Enterprise Linux 6.7 上執行 copy-schema-to-ca.py 指令碼之前先在 Red Hat Enterprise Linux 6.6 上執行該指令碼,則此錯誤仍然存在。若要解決這個問題,請將 /usr/share/ipa/schema/05rfc2247.ldif 手動複製到 /etc/dirsrv/slapd-PKI-IPA/schema/,然後重新啟動 IdM。(BZ#1220788)
建議所有 ipa 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/errata/RHSA-2015:1462
Plugin 詳細資訊
嚴重性: Medium
ID: 84953
檔案名稱: redhat-RHSA-2015-1462.nasl
版本: 2.9
類型: local
代理程式: unix
已發布: 2015/7/23
已更新: 2021/2/5
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.8
CVSS v2
風險因素: Medium
基本分數: 4.3
時間分數: 3.7
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:ipa-admintools, p-cpe:/a:redhat:enterprise_linux:ipa-client, p-cpe:/a:redhat:enterprise_linux:ipa-debuginfo, p-cpe:/a:redhat:enterprise_linux:ipa-python, p-cpe:/a:redhat:enterprise_linux:ipa-server, p-cpe:/a:redhat:enterprise_linux:ipa-server-selinux, p-cpe:/a:redhat:enterprise_linux:ipa-server-trust-ad, cpe:/o:redhat:enterprise_linux:6
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/7/22
弱點發布日期: 2014/11/24
參考資訊
CVE: CVE-2010-5312, CVE-2012-6662
RHSA: 2015:1462