检测

RHEL 8/9:Red Hat Ansible Automation Platform 2.5 产品安全和缺陷修复更新(重要)(RHSA-2025:0340)

medium Nessus 插件 ID 214232

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 8/9 主机上安装的多个程序包受到 RHSA-2025:0340 公告中提及的多个漏洞影响。

 Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。

 安全修复:
 * automation-controller:Oracle 上的 HasKey(lhs, rhs) 中可能包含 SQL 注入漏洞 (CVE-2024-53908)
 * automation-controller:django.utils.html.strip_tags() 中存在潜在的拒绝服务漏洞 (CVE-2024-53907)
 * automation-controller:通过 gRPC-C++ 中的数据损坏造成拒绝服务 (CVE-2024-11407)
 * automation-gateway:nanoid 错误处理非整数值 (CVE-2024-55565)
 * python3.11-aiohttp:aiohttp 容易遭受请求走私攻击,这是错误解析区块扩展所导致 (CVE-2024-52304)

 有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

 包含的更新和补丁:

 平台
 * 修复了在表单向导中导航时偶尔发生的“未找到”错误 (AAP-37495)
 * 修复了 ID_KEY 属性不当用于确定社交认证管道中的用户名字段的问题 (AAP-38300)
 * 修复了 X-DAB-JW-TOKEN 标头消息可能淹没日志的问题 (AAP-38169)
 * 修复了身份验证器可创建用户 ID 并返回无效 authenticator_uid 的问题 (AAP-38021)
 * 将状态 API /api/gateway/v1/status/ 从 JSON 中的服务属性增强为数组 (AAP-37903)
 * 修复了下载 OpenAPI 方案文件时私钥以纯文本显示的问题。
 注意:这不是网关使用的私钥,而是随机默认密钥 (AAP-37843)

 自动化控制器
 * 添加了“job_lifecycle”作为记录器中发送至外部的选项,并向与作业相关的日志添加了“organization_id”字段 (AAP-37537)
 * 修复了来自“host_metric_summary_monthly”任务的回溯的日期比较不匹配 (AAP-37487)
 * 修复了 count 设置为非零值的计划作业,使其不再意外运行 (AAP-37290)
 * 修复了通过网关对“/api/controller/login/”进行的 POST 操作,以便不再导致致命错误 (AAP-37235)
 * 修复了项目的“requirements.yml”的行为,以不再恢复到群集中的先前状态 (AAP-37228)
 * 修复了当快速启动大量作业时,需要先创建事件分区表,再启动作业的偶尔发生的错误 (AAP-37227)
 * 修复了 named URL,以便在启动作业模板时不再返回 404 错误代码 (AAP-37025)
 * 更新了 receptor,以在节点上完成作业后清理临时 receptor 文件 (AAP-36904)
 * 修复了通过网关对“/api/controller/login/”进行的 POST 操作,以便不再导致致命错误 (AAP-33911)
 * automation-controller 已更新至 4.6.6

 基于容器的 Ansible Automation Platform
 * 修复了为增长清单提供的清单文件示例可导致安装在低资源系统中停止的问题 (AAP-38372)
 * 修复了增长拓扑安装中的控制器的节流容量会允许性能降低的问题 (AAP-38207)
 * 修复了在预检角色执行期间未验证接收器 TLS 证书内容,以确保 x509 主题备选名称 (SAN) 字段包含所需的 ISO 对象标识符 (OID) 的问题 (AAP-37880)
 * 现在会在预检角色执行期间验证 TLS 证书和密钥文件 (AAP-37845)
 * 修复了预检角色执行期间 Postgresql SSL 模式变量未经验证的问题 (AAP-37352)
 * 容器化安装程序设置已更新为 2.5-8

 基于 RPM 的 Ansible Automation Platform
 * 修复了向升级后的环境添加新的自动化中心主机已导致安装失败的问题 (AAP-38204)
 * 修复了安装程序 README.md 中的文档链接损坏的问题 (AAP-37627)
 * 更新了 nginx 配置,为事件驱动型 Ansible 事件流服务正确返回 API 状态 (AAP-32816)
 * ansible-automation-platform-installer 和安装程序设置已更新为 2.5-7

 更多变更:
 * 在 RHEL 8 上安装 ansible-core 时不再安装 python3-jmespath (AAP-18251)
 * ansible-core 已更新到 2.16.14-2
 * 已将 automation-gateway 更新为 2.5.20250115
 * 已将 python3.11-aiohttp 及其依赖项更新至 3.10.11
* 已将 python3.11-django-ansible-base 更新为 2.5.20250115
 * python3.11-galaxy-importer 已更新到 0.4.27
 * 已将 python3.11-pulpcore 更新至 3.49.29

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 automation-controller-venv-tower、automation-gateway-server 和/或 python3.11-aiohttp 程序包。

另见

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2327130

https://bugzilla.redhat.com/show_bug.cgi?id=2329003

https://bugzilla.redhat.com/show_bug.cgi?id=2329287

https://bugzilla.redhat.com/show_bug.cgi?id=2329288

https://bugzilla.redhat.com/show_bug.cgi?id=2331063

http://www.nessus.org/u?30b348d8

https://access.redhat.com/errata/RHSA-2025:0340

插件详情

严重性: Medium

ID: 214232

文件名: redhat-RHSA-2025-0340.nasl

版本: 1.3

类型: local

代理: unix

发布时间: 2025/1/15

最近更新时间: 2025/7/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2024-53908

CVSS v3

风险因素: Critical

基本分数: 9.8

时间分数: 8.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

风险因素: Medium

Base Score: 6.9

Threat Score: 3.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:P/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H

CVSS 分数来源: CVE-2024-11407

漏洞信息

CPE: cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:python3.11-aiohttp, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/1/15

漏洞发布日期: 2024/11/18

参考资料信息

CVE: CVE-2024-11407, CVE-2024-52304, CVE-2024-53907, CVE-2024-53908, CVE-2024-55565

CWE: 1169, 444, 682, 835, 89

RHSA: 2025:0340