远程 Redhat Enterprise Linux 8/9 主机上安装的程序包受到 RHSA-2024:6765 公告中提及的多个漏洞影响。

    Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则，而自动化开发人员仍然可以自由地利用现有知识编写任务，而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言，共享、审查和管理自动化内容。

    安全修复：

    * python3-pulpcore/python39-pulpcore：在创建对象的任务中错误分配 RBAC 权限 (CVE-2024-7143)
    * python3-urllib3/python39-urllib3：urllib3：跨源重定向期间未剥离 proxy-authorization 请求标头 (CVE-2024-37891)
    * receptor：golang：net/netip：Is 方法中用于映射 IPv4 的 IPv6 地址的意外行为 (CVE-2024-24790)
    * receptor：golang：net：格式错误的 DNS 消息可造成无限循环 (CVE-2024-24788)

    有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

    针对自动化控制器的更新和修复：
    * 更新了回退以在启用分析收集的情况下使用 RHSM 订阅凭据发送分析数据 (AAP-30228)
    * 升级“channels-redis”库以修复 Redis 连接泄漏问题 (AAP-30124)
    * automation-controller 已更新至 4.5.11

    其他修复：
    * 已将 python3/python39-django 更新为 4.2.16
    * 已将 python3/python39-pulpcore 更新为 3.28.32
    * 已将 python3/python39-urllib3 更新为 1.26.20
    * 已将 receptor 更新为 1.4.8-1.1

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

检测

RHEL 8/9：Red Hat Ansible Automation Platform 2.4 产品安全和缺陷修复更新（中危）(RHSA-2024:6765)

critical Nessus 插件 ID 207395

版本 1.3