偵測

Scientific Linux 安全性更新:SL7.x x86_64 上的 sssd

medium Nessus Plugin ID 87575

語系:

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

據發現,SSSD 的權限屬性憑證 (PAC) 回應外掛程式會在每次有驗證要求提出時,洩漏少量記憶體。遠端攻擊者可能利用此瑕疵,將重複的要求傳送至設為驗證使用 PAC 回應外掛程式的 Kerberized 程序應用程式,進而耗盡系統上所有可用的記憶體。(CVE-2015-5292)

sssd 套件已升級至上游版本 1.13.0,相較於先前的版本,此版本提供數個錯誤修正和增強功能。

- SSSD 智慧卡支援 * SSSD 中的快取驗證 * SSSD 支援自動覆寫所發現的 AD 網站 * SSSD 現可拒絕鎖定帳戶的 SSH 存取 * SSSD 允許個別用戶端上的 UID 和 GID 對應 * 快取項目的背景重新整理 * 一次性和長期密碼的多步驟提示 * initgroups 作業的快取

修正的錯誤:

- 當 IdM 伺服器上的 SELinux 使用者內容設為空白字串,SSSD SELinux 評估公用程式會傳回錯誤。

- 如果 ldap_child 處理程序無法初始化認證,且因錯誤而結束多次,建立檔案的作業在某些情況下便會因為 i 節點數量不足開始失敗。

- SRV 查詢是使用硬式編碼的 TTL 逾時,所以要求 SRV 查詢只要在特定時間有效的環境會被封鎖。SSSD 現會剖析 DNS 封包之外的 TTL 值。

- 之前,initgroups 作業會耗費大量的時間。利用 AD 後端並停用 ID 對應後,用於設定的登入和 ID 處理現在已經更快。

- 當裝有 Scientific Linux 7.1 或更新版本的 IdM 用戶端連線至裝有 Scientific Linux 7.0 或以前版本的伺服器時,透過 AD 受信任網域的驗證會造成 sssd_be 處理程序無預警終止。

- HBAC 處理期間若出現複寫衝突項目,系統會拒絕使用者存取。系統現會略過複寫衝突項目,允許向使用者授予存取權。

- SID 陣列不再含有未初始化的值,因此 SSSD 不會再損毀。

- SSSD 支援來自不同網域控制器的 GPO,所以在處理來自不同網域控制器的 GPO 時不會再當機。

- 若 sudo 規則中的群組名稱包含特殊字元 (如括號),SSSD 便無法加以重新整理。

- 若伺服器已向 IPA 名稱授予資格,其便無法在用戶端中取得資格,因此即使伺服器端上使用 default_domain_suffix,IdM 群組成員也會解散。

- 內部快取清理作業已預設停用,藉此改善 sssd_be 處理程序的效能。

- autofs 對應目前已不會再考慮 default_domain_suffix。

- 使用者可將 subdomain_inherit=ignore_group-members 設為停用受信任網域的擷取群組成員。

- 群組解析失敗,並出現錯誤訊息:
「錯誤: 14 (錯誤位址)」。二進位 GUID 處理已經修正。

新增的增強功能:

- 手冊頁面中的 default_domain_suffix 描述已經改善。

- 在新增 '%0' 範本選項後,SSSD IdM 用戶端上的使用者現可使用 AD 上設定的主目錄。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?b620618f

Plugin 詳細資訊

嚴重性: Medium

ID: 87575

檔案名稱: sl_20151119_sssd_on_SL7_x.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2015/12/22

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 6.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

弱點資訊

CPE: p-cpe:/a:fermilab:scientific_linux:libipa_hbac, p-cpe:/a:fermilab:scientific_linux:libipa_hbac-devel, p-cpe:/a:fermilab:scientific_linux:libsss_idmap, p-cpe:/a:fermilab:scientific_linux:libsss_idmap-devel, p-cpe:/a:fermilab:scientific_linux:libsss_nss_idmap, p-cpe:/a:fermilab:scientific_linux:libsss_nss_idmap-devel, p-cpe:/a:fermilab:scientific_linux:libsss_simpleifp, p-cpe:/a:fermilab:scientific_linux:libsss_simpleifp-devel, p-cpe:/a:fermilab:scientific_linux:python-libipa_hbac, p-cpe:/a:fermilab:scientific_linux:python-libsss_nss_idmap, p-cpe:/a:fermilab:scientific_linux:python-sss, p-cpe:/a:fermilab:scientific_linux:python-sss-murmur, p-cpe:/a:fermilab:scientific_linux:python-sssdconfig, p-cpe:/a:fermilab:scientific_linux:sssd, p-cpe:/a:fermilab:scientific_linux:sssd-ad, p-cpe:/a:fermilab:scientific_linux:sssd-client, p-cpe:/a:fermilab:scientific_linux:sssd-common, p-cpe:/a:fermilab:scientific_linux:sssd-common-pac, p-cpe:/a:fermilab:scientific_linux:sssd-dbus, p-cpe:/a:fermilab:scientific_linux:sssd-debuginfo, p-cpe:/a:fermilab:scientific_linux:sssd-ipa, p-cpe:/a:fermilab:scientific_linux:sssd-krb5, p-cpe:/a:fermilab:scientific_linux:sssd-krb5-common, p-cpe:/a:fermilab:scientific_linux:sssd-ldap, p-cpe:/a:fermilab:scientific_linux:sssd-libwbclient, p-cpe:/a:fermilab:scientific_linux:sssd-libwbclient-devel, p-cpe:/a:fermilab:scientific_linux:sssd-proxy, p-cpe:/a:fermilab:scientific_linux:sssd-tools, x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

修補程式發佈日期: 2015/11/19

弱點發布日期: 2015/10/29

參考資訊

CVE: CVE-2015-5292