RHEL 8/9：Red Hat Ansible Automation Platform 2.4 产品安全和缺陷修复更新（中危）(RHSA-2025:8609)

medium Nessus 插件 ID 237806

语言：

简介

远程 Red Hat 主机缺少安全更新。

描述

远程 Redhat Enterprise Linux 8/9 主机上安装的多个程序包受到 RHSA-2025:8609 公告中提及的一个漏洞影响。

Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则，而自动化开发人员仍然可以自由地利用现有知识编写任务，而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言，共享、审查和管理自动化内容。

安全修复：

* python3-django/python39-djangodjango.utils.text.wrap() 中的潜在拒绝服务漏洞 (CVE-2025-26699)

有关上述安全问题的更多详细信息，包括其影响、CVSS 得分、致谢，以及其他相关信息，请参阅列于“参考”部分的 CVE 页面。

包含的更新和补丁：

自动化控制器
* 更新了许可证机制允许用户在通过 API 和 AAP 用户界面提取订阅时提供用户名和密码 (AAP-46837)
* 修复 Workflow Visualizer 在节点计数较高的情况下偶尔会冻结 (AAP-46620)
* 已修复“useThrottle”以便作业列表页面在 websocket 事件发生时不会向 API 发送垃圾信息 (AAP-46551)
* 修复在上传到混合云控制台失败后分析收集器无法清理临时文件 (AAP-45967)
* 更新了调度程序以根据使用期限或在上一个任务完成后回收空闲的工作进程。将默认的最长使用期限延长至 4 小时可通过将“WORKER_MAX_LIFETIME_SECONDS”设置为所需时间进行配置或设置为 None 以禁用工作线程回收 (AAP-45948)
* 已更新凭据创建页面上的帮助文本 (AAP-45499)
* 添加了批量更新排序实用工具方法以防止数据库死锁并使批处理大小规范化 (AAP-45122)
* 将基本认证替换为服务帐户认证以进行 AAP 订阅管理 (AAP-44642)
* 更新了“凭据”表单上的标题特别是 Insights 凭据通知用户输入客户端 ID 和密钥以创建 Insights 凭据 (AAP-43235)
* 更新了系统设置 UI 中的字段名称和帮助文本以指示服务帐户的客户端 ID 和客户端密码以及 Analytics 的客户端 ID 和客户端密码 (AAP-43161)
* 已更新订阅编辑 UI 中的标题和字段名称以指示 Ansible 订阅现在需要混合云控制台的服务帐户 (AAP-43160)
* automation-controller 已更新到 4.5.23

自动化中心
* 将 EE pull 访问限制为明确授权的用户 (AAP-46525)
* automation-hub 已更新到 4.9.4
* python3-galaxy-ng/python39-galaxy-ng 已更新到 4.9.4
* python3-pulp-ansible/python39-pulp-ansible 已更新到 0.20.11

其他变更：
* python3-django/python39-django 已更新到 4.2.21
* 安装程序和设置已更新为 2.4-12

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 python3-django 和/或 python39-django 程序包。

另见

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=2348993

http://www.nessus.org/u?0477ce90

https://access.redhat.com/errata/RHSA-2025:8609

插件详情

严重性: Medium

ID: 237806

文件名: redhat-RHSA-2025-8609.nasl

版本: 1.1

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2025/6/5

最近更新时间: 2025/6/5

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 1.6

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 7.8

时间分数: 5.8

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS 分数来源: CVE-2025-26699

CVSS v3

风险因素: Medium

基本分数: 5

时间分数: 4.4

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:L

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:python3-django, p-cpe:/a:redhat:enterprise_linux:python3x-django, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:python-django, p-cpe:/a:redhat:enterprise_linux:python39-django, cpe:/o:redhat:enterprise_linux:8

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/6/5

漏洞发布日期: 2025/3/6

参考资料信息

CVE: CVE-2025-26699

CWE: 400

RHSA: 2025:8609