RHEL 8/9:Red Hat Ansible Automation Platform 2.4 产品安全和缺陷修复更新(中危)(RHSA-2024:3781)
high Nessus 插件 ID 200272
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
远程 Redhat Enterprise Linux 8/9 主机上安装的多个程序包受到 RHSA-2024:3781 公告中提及的多个漏洞影响。Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。
安全修复:
* automation-controller: aiohttp:尝试解析畸形 POST 请求时发生 DoS (CVE-2024-30251)
* automation-controller: Django:django.utils.text.Truncator.words() 可能会发生正则表达式拒绝服务 (CVE-2024-27351)
* automation-controller: pip:通过 pip 安装时,repo 修订中可注入 Mercurial 配置 (CVE-2023-5752)
* automation-controller: pydantic:通过特制的电子邮件字符串造成正则表达式拒绝服务 (CVE-2024-3772)
* automation-hub、python3/python39-galaxy-ng: follow-redirects:可能的凭据泄漏 (CVE-2024-28849)
* python3/python39-aiohttp:尝试解析畸形 POST 请求时发生 DoS (CVE-2024-30251)
* python3/python39-aiohttp:索引页面上用于处理静态文件的 XSS (CVE-2024-27306)
* python3/python39-black:通过 strings.py 文件中的 lines_with_leading_tabs_expanded() 函数造成的 ReDoS (CVE-2024-21503)
* python3/python39-cryptography:通过不匹配的证书和私钥以及 hmac_hash 替代来调用时,pkcs12.serialize_key_and_certificates 会发生空指针取消引用 (CVE-2024-26130)
* python3/python39-cryptography:加载 PKCS7 证书时发生空取消引用 (CVE-2023-49083)
* python3/python39-cryptography:加载 PKCS7 证书时发生空取消引用 (CVE-2023-49083)
* python3/python39-gunicorn:因未正确验证 Transfer-Encoding 标头而出现 HTTP 请求走私 (CVE-2024-1135)
* python3/python39-idna:因 idna.encode() 受到特制的输入内容造成资源消耗而引起潜在 DoS (CVE-2024-3651)
* python3/python39-jinja2:接受包含非属性字符的密钥 (CVE-2024-34064)
* python3/python39-pillow:_imagingcms.c 中的缓冲区溢出 (CVE-2024-28219)
* python3/python39-pillow:通过环境参数导致执行任意代码 (CVE-2023-50447)
* python3/python39-pydantic:通过特制的电子邮件字符串造成正则表达式拒绝服务 (CVE-2024-3772)
* python3/python39-requests:对同一主机的后续请求会忽略证书验证 (CVE-2024-35195)
* python3/python39-social-auth-app-django:对 social-auth-app-django 中的大小写区分处理不当 (CVE-2024-32879)
* python3/python39-sqlparse:解析深度嵌套的列表会导致拒绝服务 (CVE-2024-4340)
* receptor: golang: crypto/x509:使用未知的公钥算法验证证书上的错误 (CVE-2024-24783)
* receptor: golang: net/http、x/net/http2:CONTINUATION 帧的数量不受限制导致 DoS (CVE-2023-45288)
* receptor: golang: net/http:Request.ParseMultipartForm 中的内存耗尽漏洞 (CVE-2023-45290)
有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。
针对自动化控制器的更新和修复:
* 修复了版本 4.5.6 上的 Redis 连接泄漏 (AAP-24286)
* automation-controller 已更新到 4.5.7
针对自动化中心的更新和修复:
* 修复了存储库同步问题(AAH-3111、AAH-3218)
* automation-hub/python3-galaxy-ng/python39-galaxy-ng 已更新到 4.9.2
其他变更:
* ansible-core 已更新到 2.15.11
* automation-eda-controller 已更新到 1.0.7
* 安装程序和设置已更新为 2.4-7
* 已将 receptor 更新为 1.4.8
有关此版本中包含的更新和修复的更多详细信息,请参阅发行说明。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=2250765
https://bugzilla.redhat.com/show_bug.cgi?id=2255331
https://bugzilla.redhat.com/show_bug.cgi?id=2259479
https://bugzilla.redhat.com/show_bug.cgi?id=2266045
https://bugzilla.redhat.com/show_bug.cgi?id=2268017
https://bugzilla.redhat.com/show_bug.cgi?id=2268019
https://bugzilla.redhat.com/show_bug.cgi?id=2268273
https://bugzilla.redhat.com/show_bug.cgi?id=2269576
https://bugzilla.redhat.com/show_bug.cgi?id=2269617
https://bugzilla.redhat.com/show_bug.cgi?id=2270236
https://bugzilla.redhat.com/show_bug.cgi?id=2272563
https://bugzilla.redhat.com/show_bug.cgi?id=2274779
https://bugzilla.redhat.com/show_bug.cgi?id=2275106
https://bugzilla.redhat.com/show_bug.cgi?id=2275280
https://bugzilla.redhat.com/show_bug.cgi?id=2275989
https://bugzilla.redhat.com/show_bug.cgi?id=2277035
https://bugzilla.redhat.com/show_bug.cgi?id=2278038
https://bugzilla.redhat.com/show_bug.cgi?id=2278710
https://bugzilla.redhat.com/show_bug.cgi?id=2279476
https://bugzilla.redhat.com/show_bug.cgi?id=2282114
https://issues.redhat.com/browse/AAH-3111
https://issues.redhat.com/browse/AAP-22461
插件详情
严重性: High
ID: 200272
文件名: redhat-RHSA-2024-3781.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2024/6/10
最近更新时间: 2024/11/7
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: High
基本分数: 7.6
时间分数: 6
矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2023-50447
CVSS v3
风险因素: High
基本分数: 8.1
时间分数: 7.3
矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
风险因素: High
Base Score: 8.9
Threat Score: 8.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS 分数来源: CVE-2023-49083
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:python3x-black, p-cpe:/a:redhat:enterprise_linux:python-pillow, p-cpe:/a:redhat:enterprise_linux:python-jinja2, p-cpe:/a:redhat:enterprise_linux:python3x-jinja2, p-cpe:/a:redhat:enterprise_linux:python3-sqlparse, p-cpe:/a:redhat:enterprise_linux:python39-requests, p-cpe:/a:redhat:enterprise_linux:python3x-social-auth-app-django, p-cpe:/a:redhat:enterprise_linux:python39-cryptography, p-cpe:/a:redhat:enterprise_linux:python-requests, p-cpe:/a:redhat:enterprise_linux:python-pydantic, p-cpe:/a:redhat:enterprise_linux:python3-requests, p-cpe:/a:redhat:enterprise_linux:python-sqlparse, p-cpe:/a:redhat:enterprise_linux:python3-social-auth-app-django, p-cpe:/a:redhat:enterprise_linux:python39-idna, p-cpe:/a:redhat:enterprise_linux:python-aiohttp, p-cpe:/a:redhat:enterprise_linux:receptor, p-cpe:/a:redhat:enterprise_linux:python3x-sqlparse, p-cpe:/a:redhat:enterprise_linux:python3-pillow, p-cpe:/a:redhat:enterprise_linux:python3x-gunicorn, p-cpe:/a:redhat:enterprise_linux:python3-black, p-cpe:/a:redhat:enterprise_linux:python39-gunicorn, p-cpe:/a:redhat:enterprise_linux:python39-sqlparse, p-cpe:/a:redhat:enterprise_linux:python3-jinja2, p-cpe:/a:redhat:enterprise_linux:python3x-idna, p-cpe:/a:redhat:enterprise_linux:python3x-cryptography, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:python-gunicorn, p-cpe:/a:redhat:enterprise_linux:python39-black, p-cpe:/a:redhat:enterprise_linux:python-social-auth-app-django, p-cpe:/a:redhat:enterprise_linux:python39-pydantic, p-cpe:/a:redhat:enterprise_linux:python-idna, p-cpe:/a:redhat:enterprise_linux:python3-pydantic, p-cpe:/a:redhat:enterprise_linux:python3x-requests, p-cpe:/a:redhat:enterprise_linux:python3x-galaxy-ng, p-cpe:/a:redhat:enterprise_linux:python3x-pydantic, p-cpe:/a:redhat:enterprise_linux:receptorctl, p-cpe:/a:redhat:enterprise_linux:python3x-pillow, p-cpe:/a:redhat:enterprise_linux:python3-idna, p-cpe:/a:redhat:enterprise_linux:python3-gunicorn, p-cpe:/a:redhat:enterprise_linux:python3x-aiohttp, p-cpe:/a:redhat:enterprise_linux:python39-aiohttp, p-cpe:/a:redhat:enterprise_linux:python39-galaxy-ng, p-cpe:/a:redhat:enterprise_linux:python-galaxy-ng, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:python3-galaxy-ng, p-cpe:/a:redhat:enterprise_linux:python39-pillow, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:python3-aiohttp, p-cpe:/a:redhat:enterprise_linux:python3-cryptography, p-cpe:/a:redhat:enterprise_linux:python-cryptography, p-cpe:/a:redhat:enterprise_linux:automation-hub, p-cpe:/a:redhat:enterprise_linux:python39-jinja2, p-cpe:/a:redhat:enterprise_linux:python-black, p-cpe:/a:redhat:enterprise_linux:python39-social-auth-app-django
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2024/6/10
漏洞发布日期: 2023/10/25
参考资料信息
CVE: CVE-2023-45288, CVE-2023-45290, CVE-2023-49083, CVE-2023-50447, CVE-2023-5752, CVE-2024-1135, CVE-2024-21503, CVE-2024-24783, CVE-2024-26130, CVE-2024-27306, CVE-2024-27351, CVE-2024-28219, CVE-2024-28849, CVE-2024-30251, CVE-2024-32879, CVE-2024-34064, CVE-2024-35195, CVE-2024-3651, CVE-2024-3772, CVE-2024-4340