CentOS 6 : sssd (CESA-2015:2019)

medium Nessus Plugin ID 86831

語系：

概要

遠端 CentOS 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 6 的更新版 sssd 套件，可修正一個安全性問題和數個錯誤。

Red Hat 產品安全性團隊已將此更新評等為具有低安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

系統安全性服務程序 (SSSD) 提供一組程序，可用來管理遠端目錄和驗證機制的存取權。另外還提供通往系統和插入式後端系統的 Name Service Switch (NSS) 和插入式驗證模組 (PAM) 介面，可連接至多個不同的帳戶來源。

據發現，SSSD 的權限屬性憑證 (PAC) 回應外掛程式會在每次有驗證要求提出時，洩漏少量記憶體。遠端攻擊者可能利用此瑕疵，將重複的要求傳送至設為驗證使用 PAC 回應外掛程式的 Kerberized 程序應用程式，進而耗盡系統上所有可用的記憶體。(CVE-2015-5292)

此更新也可修正下列錯誤：

* 之前 SSSD 在套用 sudo 規則至名稱中含有特殊字元 (例如：「(」左括號) 的群組時，並未正確處理。因而使得 SSSD 略過這些 sudo 規則。
內部 sysdb 搜尋已修改，現在搜尋 sudo 規則套用的物件時會逸出特殊字元。因此，SSSD 已可按照預期地套用所描述的 sudo 規則。
(BZ#1258398)

* 在此更新之前，SSSD 不會正確處理含有輕量型目錄存取通訊協定 (LDAP) 特殊字元 (例如：「(」或「)」括號) 的群組名稱。群組名稱含有一個或多個上述字元時，內部快取清理作業就會出現 I/O 錯誤而失敗。透過此更新，快取項目中辨別名稱 (DN) 所含的 LDAP 特殊字元都會先逸出，再開始執行清理作業。如此一來，在上述情況下，清理作業即可順利完成。
(BZ#1264098)

* 執行 Kerberos 驗證的應用程式之前會讓用於剖析權限屬性憑證 (PAC) 資訊的 Kerberos 外掛程式提高記憶體使用量。外掛程式已更新為可釋出其配置的記憶體，因而已解決此錯誤。(BZ#1268783)

* 之前，在 Active Directory (AD) LDAP 伺服器中定義格式錯誤的 POSIX 屬性時，SSSD 會無預期地切換成離線模式。此更新會放鬆特定 AD POSIX 屬性的有效性檢查。因此，SSSD 現可如常運作，即使 AD 中有格式錯誤的 POSIX 屬性，也不會再如上述進入離線模式。(BZ#1268784)

建議所有 openssh 使用者皆升級至這些更新版套件，其中包含可更正這些問題的反向移植修補程式。安裝此更新後，sssd 服務隨即自動重新啟動。
此外，必須先將所有使用 PAC 回應外掛程式的執行中應用程式重新啟動，這些變更才會生效。

解決方案

更新受影響的 sssd 套件。

另請參閱

http://www.nessus.org/u?14f87ae3

Plugin 詳細資訊

嚴重性: Medium

ID: 86831

檔案名稱: centos_RHSA-2015-2019.nasl

版本: 2.8

類型: local

代理程式: unix

系列: CentOS Local Security Checks

已發布: 2015/11/11

已更新: 2021/1/4

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 6.8

時間分數: 5

媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

CVSS 評分資料來源: CVE-2015-5292

弱點資訊

CPE: p-cpe:/a:centos:centos:libipa_hbac, p-cpe:/a:centos:centos:libipa_hbac-devel, p-cpe:/a:centos:centos:libipa_hbac-python, p-cpe:/a:centos:centos:libsss_idmap, p-cpe:/a:centos:centos:libsss_idmap-devel, p-cpe:/a:centos:centos:libsss_nss_idmap, p-cpe:/a:centos:centos:libsss_nss_idmap-devel, p-cpe:/a:centos:centos:libsss_nss_idmap-python, p-cpe:/a:centos:centos:libsss_simpleifp, p-cpe:/a:centos:centos:libsss_simpleifp-devel, p-cpe:/a:centos:centos:python-sssdconfig, p-cpe:/a:centos:centos:sssd, p-cpe:/a:centos:centos:sssd-ad, p-cpe:/a:centos:centos:sssd-client, p-cpe:/a:centos:centos:sssd-common, p-cpe:/a:centos:centos:sssd-common-pac, p-cpe:/a:centos:centos:sssd-dbus, p-cpe:/a:centos:centos:sssd-ipa, p-cpe:/a:centos:centos:sssd-krb5, p-cpe:/a:centos:centos:sssd-tools, cpe:/o:centos:centos:6, p-cpe:/a:centos:centos:sssd-krb5-common, p-cpe:/a:centos:centos:sssd-ldap, p-cpe:/a:centos:centos:sssd-proxy

必要的 KB 項目: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/11/10

弱點發布日期: 2015/10/29

參考資訊

CVE: CVE-2015-5292

RHSA: 2015:2019