遠端 Redhat Enterprise Linux 8 主機上安裝的多個套件受到 RHSA-2024:1878 公告中提及的多個弱點影響。

    Red Hat Update Infrastructure (RHUI) 提供高度可擴充、高度冗餘的架構，讓您可以管理存放庫和內容。它也可讓雲端供應商將內容和更新傳送至 Red Hat Enterprise Linux (RHEL) 執行個體。

    安全性修正：

    * python-django：EmailValidator/URLValidator 中潛在的規則運算式拒絕服務弱點 (CVE-2023-36053)

    * python-aiohttp：可透過 llhttp HTTP 要求剖析器觸發的 HTTP 要求走私弱點 (CVE-2023-37276)

    * python-django：``django.utils.encoding.uri_to_iri()`` 中潛在的拒絕服務弱點。(CVE-2023-41164)

    * python-django：django.utils.text.Truncator 中可能存在拒絕服務弱點 (CVE-2023-43665)

    * python-aiohttp：具有標頭剖析功能的 HTTP 剖析器中有多個問題 (CVE-2023-47627)

    * aiohttp：HTTP 要求修改 (CVE-2023-49081)

    * python-cryptography：載入 PKCS7 憑證時發生 NULL 指標解除參照 (CVE-2023-49083)

    * jinja2：將使用者輸入作為金鑰傳遞至 xmlattr 篩選器時，發生 HTML 屬性插入攻擊 (CVE-2024-22195)

    * aiohttp：follow_symlinks 的目錄遊走弱點 (CVE-2024-23334)

    * python-ecdsa：容易受到 Minerva 攻擊 (CVE-2024-23342)

    * python-aiohttp：HTTP 要求走私弱點 (CVE-2024-23829)

    * Django：``intcomma`` 範本篩選器中的拒絕服務弱點 (CVE-2024-24680)

    * python-django：django.utils.text.Truncator.words() 中潛在的規則運算式拒絕服務問題 (CVE-2024-27351)

    * aiohttp：若使用者使用 aiohttp 用戶端控制 HTTP 方法，則會發生 CRLF 插入攻擊 (CVE-2023-49082)

    此 RHUI 更新可修復下列錯誤：

    * RHEL 8.10 Beta 中因使用 distutils 而導致的 rhui-installer 失敗問題。已更新為不使用 distutils 的新版 ansible-collection-community-crypto，以解決此問題。

    此 RHUI 更新包含下列增強功能：

    * 現可在 RHUI 安裝程式首次執行或隨時重新執行時，使用原生 Ansible 模組更新 RHUA 伺服器上的套件。在 rhui-installer 命令列上使用 --ignore-newer-rhel-packages 旗標可阻止此更新。

    * 已將 PulpCore 更新至 3.39 版。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

遠端 Redhat Enterprise Linux 8/9 主機上安裝的多個套件受到 RHSA-2024:1057 公告中提及的多個弱點影響。

  - pygments：pygments 中的 ReDoS (CVE-2022-40896)

  - python-pillow：在長文字引數中使用 ImageDraw 執行個體中的 textlength 時，存在資源消耗不受控制弱點 (CVE-2023-44271)

  - python-aiohttp：具有標頭剖析功能的 HTTP 剖析器中有多個問題 (CVE-2023-47627)

  - aiohttp：HTTP 要求修改 (CVE-2023-49081)

  - aiohttp：若使用者使用 aiohttp 用戶端控制 HTTP 方法，則會發生 CRLF 插入攻擊 (CVE-2023-49082)

  - pycryptodome：PyCryptodome 和 pycryptodomex 的 OAEP 解密中存在側通道洩漏弱點 (CVE-2023-52323)

  - ansible automation platform：與 EDA 伺服器互動時使用不安全的 websocket (CVE-2024-1657)

  - jinja2：將使用者輸入作為金鑰傳遞至 xmlattr 篩選器時，發生 HTML 屬性插入攻擊 (CVE-2024-22195)

  - Django：``intcomma`` 範本篩選器中存在拒絕服務弱點 (CVE-2024-24680)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

ID	名稱	產品	系列	已發布	已更新	嚴重性
193467	RHEL 8：RHUI 4.8 版本 - 安全性更新、錯誤修正和增強功能 (中等) (RHSA-2024:1878)	Nessus	Red Hat Local Security Checks	2024/4/18	2024/5/29	high
191748	RHEL 8/9：Red Hat Ansible Automation Platform 2.4 產品安全性和錯誤修正更新 (重要) (RHSA-2024:1057)	Nessus	Red Hat Local Security Checks	2024/3/8	2024/6/3	high

偵測

搜尋 Plugin

high

high