检测

RHEL 8/9:Red Hat Ansible Automation Platform 2.5 产品安全和缺陷修复更新(中危)(RHSA-2025:12772)

medium Nessus 插件 ID 243449

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 8/9 主机上安装的多个程序包受到 RHSA-2025:12772 公告中提及的多个漏洞影响。

 Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。

 安全修复:

 * Automation-gateway禁用 CSRF 源检查 (CVE-2025-5988)
 * python3.11-django-ansible-base通过 AAP 中的 API 以明文返回敏感认证器密码 (CVE-2025-7738)

 有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

 包含的更新和补丁:

 Automation Platform

 * 修复了角色用户分配的 content_type 字段以指示空值是来自 API 的有效响应 (AAP-49494)
 * 现在会在单独的线程中检查由 GRPC 服务器和网关状态 API 完成的 DB 状态以避免创建额外的 DB 连接 (AAP-49383)
 * 现在可选择 PosixUIDGroupType 用于 LDAP 组类型 (AAP-49347)
 * 认证映射用户属性名称和值以及组名称添加了不区分大小写的情况。
 功能标记 FEATURE_CASE_INSENSITIVE_AUTH_MAPS 必须设置为 true 才能启用不区分大小写的比较 (AAP-49327)
 * 修复了未在所有表单上禁用用户名、密码、密钥等敏感信息的自动完成功能的问题 (AAP-49079)
 * 修复了与工作流作业模板限制在保存时替代工作流作业模板节点限制相关的问题 (AAP-48946)
 * 优化了对来自 Workflow Visualizer 的 Web 套接字消息的处理 (AAP-46800)
 * 修复了“编辑调查”表单上显示的“最小和最大限制”值 (AAP-39933)
 * 已将 automation-gateway 更新为 2.5.20250730
 * 已将 python3.11-django-ansible-base 更新为 2.5.20250730

 自动化控制器
 * 从清单插件的硬编码 URL 中删除 api 版本 (AAP-48443)
 * 更新了 AAP 凭据类型的注入器以便跨集合工作 (AAP-47877)
 * 修复了工作流节点的 404 错误 (AAP-47362)
 * automation-controller 已更新到 4.6.18

 自动化中心
 * automation-hub 已更新到 4.10.6
 * python3.11-galaxy-ng 已更新到 4.10.6

 基于容器的 Ansible Automation Platform
 * 修复了使用 NFS 存储还原 Automation hub 时的权限问题 (AAP-50118)
 * 新增用于备份的排除参数允许用户指定要从备份进程中排除的快照路径 (AAP-50114)
 * 修复了从清单中移除的执行实例在拓扑视图上仍可见的问题 (AAP-48615)
 * 修复将 NFS 用于集线器数据文件系统时将 Automation hub 还原到新群集的缺陷 (AAP-48568)
 * 容器化安装程序设置已更新为 2.5-17

 基于 RPM 的 Ansible Automation Platform
 * 安装程序现在允许将 gunicorn 超时传递至 EDA api 服务单元 (AAP-49858)
 * 安装程序现在将仅在 EDA 事件流节点上打开通向防火墙的事件流端口 (AAP-49792)
 * 对齐 envoy、nginx、web 服务器和 jwt 标记超时以避免请求超时但工作继续或标记在使用前过期 (AAP-49153)
 * 现在会在还原期间正确检查 EDA 节点类型 (AAP-49004)
 * 修复了使用非默认值时未正确配置 gRPC 服务器端口的问题 (AAP-48543)
 * ansible-automation-platform-installer 和安装程序设置已更新为 2.5-16

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 Automation-gateway-server 和/或 python3.11-django-ansible-base 程序包。

另见

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=2371644

https://bugzilla.redhat.com/show_bug.cgi?id=2381589

http://www.nessus.org/u?0e8dc558

https://access.redhat.com/errata/RHSA-2025:12772

插件详情

严重性: Medium

ID: 243449

文件名: redhat-RHSA-2025-12772.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/8/4

最近更新时间: 2025/8/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.1

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 4.9

时间分数: 3.6

矢量: CVSS2#AV:N/AC:H/Au:S/C:C/I:N/A:N

CVSS 分数来源: CVE-2025-5988

CVSS v3

风险因素: Medium

基本分数: 5.3

时间分数: 4.6

矢量: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: cpe:/o:redhat:enterprise_linux:8, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/8/4

漏洞发布日期: 2025/7/31

参考资料信息

CVE: CVE-2025-5988, CVE-2025-7738

CWE: 312, 352

RHSA: 2025:12772