检测

RHEL 8/9:Red Hat Ansible Automation Platform 2.5 产品安全和缺陷修复更新(中危)(RHSA-2025:4553)

medium Nessus 插件 ID 235381

语言:

简介

远程 Red Hat 主机缺少安全更新。

描述

远程 Redhat Enterprise Linux 8/9 主机上安装的程序包受到 RHSA-2025:4553 公告中提及的漏洞影响。

 Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。

 安全修复:

 * Automation-controllerdjango.utils.text.wrap() 中的潜在拒绝服务漏洞 (CVE-2025-26699)

 有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

 包含的更新和补丁:

 Automation Platform
 * 将legacy_password.py 和legacyMixin 中的 AuthenticatorPlugin 类内的 authenticate() 方法重构为它们的共同父项 LegacyMixin。为类及其方法添加了注释以便理解代码 (AAP-44460)
 * 允许使用不同的管理员用户名称安装网关 (AAP-44180)
 * 添加了 grpc_defaults.py 文件该文件可能包含 GRPC 服务器设置的替代信息 (AAP-44176)
 * 将 api html 视图上的定位标记更改为按钮标记以便其不违反语义规则 (AAP-43802)
 * 修复了 SSO 登录时的处理方式允许正确捕获错误消息 (AAP-43369)
 * LDAP 认证器字段 USER_SEARCH 现在正确支持 LDAP Union (AAP-42883)
 * 日志记录级别已更改为消除了当日志记录级别为“信息”时 X-DAB-JW-TOKEN 标头消息 (AAP-38169)
 * 现在在无 websocket 连接的情况下支持作业事件流 (AAP-43894)
 * 实现了由鼠标指针移动触发的节流会话刷新机制 (AAP-43622)
 * 解决了执行环境选择下拉菜单中的偶尔闪烁 (AAP-43546)
 * 添加了用于搜索 Rulebook 激活历史记录日志的工具栏 (AAP-43338)
 * 新增了规则手册激活实例的增强型日志查看器类似于作业输出记录器 (AAP-43337)
 * 修复了由于缺少部分输出导致作业输出缓慢且难以读取的问题 (AAP-41434)
 * 为等待正在运行的作业的用户添加通知以开始其 playbook 执行 (AAP-41399)
 * 已对身份验证方法映射 UI 进行性能改进 (AAP-40963)
 * 修复现在允许客户查看已筛选作业输出的输出详细信息 (AAP-38925)
 * 新增了编辑现有 rulebook 激活的功能 (AAP-37299)
 * 已将 automation-gateway 更新为 2.5.20250507
 * Automation-gateway-proxy 已更新到 2.5.10
 * 已将 python3.11-django-ansible-base 更新为 2.5.20250507

 自动化控制器
 * 修复了 awx.awx.schedule_rrule 的错误弃用警告 (AAP-43474)
 * 修复了 Django 密码验证器 UserAttributeSimilarityValidator 的使用 (AAP-43046)
 * 修复了事实以便在作业执行期间修改清单时不再意外删除事实 (AAP-39365)
 * 实现了 GitHub App 凭据类型 (AAP-38589)
 * automation-controller 已更新到 4.6.12
 * 已将 receptor 更新为 1.5.5

 事件驱动型 Ansible
 * 修复了 ansible-rulebook 中使用的 drools 规则引擎将内存中不匹配的事件保留两小时的 default_events_ttl 从而导致内存泄漏的问题 (AAP-44899)
 * 修复了激活失败并提示消息“它将根据重新启动策略始终在 60 秒后尝试重新启动 (1/5)”但该激活不会重新启动 (AAP-43969)
 * 修复了一个缺陷 OCP 部署的激活名称中不允许使用 [] 等特殊字符 (AAP-43742)
 * 增强了 eda-server 的 AAP 注入器以便将常见平台变量作为 extra_vars 或环境变量包含在指定情况下 (AAP-43029)
 * 修复了有时会在基于 VM 的安装中容器未被正确删除或者丢失最后输出条目的缺陷 (AAP-42935)
 * 添加了对在 eda 集合的 rulebook 激活模块中重新启动激活的支持 (AAP-42542)
 * 允许使用 AAP 别名指定 eda 集合变量以确保通用平台 env 变量和模块变量可用在 eda 集合中 (AAP-42280)
 * 为每条标记为 [tid: uuid-pattern] 的日志消息添加了日志跟踪 ID (AAP-42270)
 * 将 x-request-id 添加到标记为 [rid:uuid-pattern] 的每条日志消息 (AAP-42269)
 * EDA 决策环境验证错误现在会显示在决策环境 UI 页面中的决策环境文本框下方 (AAP-42147)
 * 如果源插件终止我们现在应该能够看到堆栈跟踪以及源文件名、函数名和行号 (AAP-41774)
 * 解决了级联删除问题以便在创建 rulesbook 激活和事件流的用户被删除后仍然保留 (AAP-41769)
 * 会正确验证传递的控制器 URL (AAP-41575)
 * 使决策环境映像能够在使用具有自定义端口的映像注册表时成功进行身份验证和拉取 (AAP-41281)
 * 当 ansible-rulebook 在工作模式下启动时相关的设置与版本会在日志中发出 (AAP-40781)
 * 已将 ansible-rulebook 更新为 1.1.6
 * automation-eda-controller 已更新到 1.1.8
 * python3.11-drools-jpy 已更新到 0.3.10
 * python3.11-drools-jpy-jar 已更新到 1.0.7
 * python3.11-podman 已更新到 5.4.0

 自动化中心
 * automation-hub 已更新到 4.10.4
 * python3.11-galaxy-importer 已更新到 0.4.29
 * python3.11-galaxy-ng 已更新到 4.10.4

 基于容器的 Ansible Automation Platform
 * 更新了安装程序以使用 ansible.platform 集合 (AAP-44230)
 * 修复自动化中心因缺少工作线程临时目录而无法上传集合的问题 (AAP-44166)
 * 实现了 playbook 以使用清单文件收集 sos 报告 (AAP-42606)
 * 添加了新变量 use_archive_compression其默认值true (AAP-41242)
 * 为每个组件添加了新变量componentName_use_archive_compression默认值
 true (AAP-41242)
 * 容器化安装程序设置已更新为 2.5-13

 基于 RPM 的 Ansible Automation Platform
 * 修复网关服务在还原后与目标环境不匹配的问题 (AAP-44231)
 * 更新了安装程序以使用 ansible.platform 集合 (AAP-43465)
 * 修复激活 rulebooks 时由于缺少 Authorization 标头而导致的问题 (AAP-44700)
 * 添加了对备份/还原中使用的存档和数据库项目的压缩 (AAP-42055)
 * ansible-automation-platform-installer 和安装程序设置已更新为 2.5-12

 其他变更:
 * aap-metrics-utility 已更新到 0.5.0
 * ansible-runner 已更新到 2.4.1
 * python3.11-dynaconf 已更新到 3.2.10
 * python3.11-sqlparse 已更新到 0.5.3

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 automation-controller-venv-tower 程序包。

另见

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=2348993

http://www.nessus.org/u?ce545329

https://access.redhat.com/errata/RHSA-2025:4553

插件详情

严重性: Medium

ID: 235381

文件名: redhat-RHSA-2025-4553.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2025/5/6

最近更新时间: 2025/6/5

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 1.6

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 分数来源: CVE-2025-26699

CVSS v3

风险因素: Medium

基本分数: 5

时间分数: 4.4

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:L

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:redhat:enterprise_linux:8, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/5/6

漏洞发布日期: 2025/3/6

参考资料信息

CVE: CVE-2025-26699

CWE: 400

RHSA: 2025:4553