检测

RHEL 8/9:Red Hat Ansible Automation Platform 2.5 产品安全和缺陷修复更新(重要)(RHSA-2025:18979)

high Nessus 插件 ID 271208

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 8/9 主机上安装的多个程序包受到 RHSA-2025:18979 公告中提及的多个漏洞影响。

 Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。

 安全修复:

 * python3.11-django通过 archive.extract() 进行的潜在部分目录遍历 (CVE-2025-59682)
 * Automation-gatewaytar-fs 符号链接验证绕过 (CVE-2025-59343)

 有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

 包含的更新和补丁:

 Automation Platform
 * Azure AD 身份验证现在会搜索更多字段以查找指定的用户名替代字段。如果未找到它将记录一条警告消息指出哪些字段有效 (AAP-53789)
 * 在服务器到服务器的请求上支持 TLSv1.3其中以前仅支持 TLSv1.3 的服务将无法工作 (AAP-49456)
 * 在订阅向导中添加了步骤允许用户配置自动化分析 (AAP-55094)
 * 无法再从系统设置页面查看/编辑订阅凭据 (AAP-55014)
 * 修复了 Red Hat 设置在 API 和 UI 中显示不一致的问题 (AAP-54277)
 * 修复平台审核员无法查看自动化执行和平台级别设置的缺陷 (AAP-53975)
 * 修复了某些字段缺少 autocomplete = new-password 设置的问题 (AAP-53934)
 * 修复了在使用分支替代时 AAP 无法设置/创建 playbook 的问题 (AAP-52566)
 * 空字符串不再显示在“作业”>“详细信息”页面上的额外变量字段中 (AAP-49448)
 * 在订阅向导中添加了两个新的切换选项以允许使用基本身份验证提取订阅 (AAP-47865)
 * 已修复工作流作业模板中的 prompt-on-launch 凭据验证 (AAP-40540)
 * 修复了 extra vars 部分中的注释问题YAML 中的所有注释现在都将在资源的创建和编辑操作中保持 (AAP-37071)
 * 更新了认证器表单中的错误处理以匹配 Platform UI 中的其他表单 (AAP-22928)
 * 已将 automation-gateway 更新为 2.5.20251022
 * RHEL8 的自动化网关代理已更新到 2.5.10-3
* RHEL9 的自动化网关代理已更新到 2.6.6-4
* 已将 python3.11-django-ansible-base 更新为 2.5.20251022

 自动化控制器
 * 修复 ansible.platform 集合不支持默认 Red Hat Ansible Automation Platform 凭据类型的问题 (AAP-55685)
 * 修复因使用修改后的清单主机名重新运行安装程序而造成的回调接收器和调度程序崩溃循环状态中的一个问题 (AAP-55638)
 * 添加了对订阅管理 API 的 Red Hat 用户名和密码的支持 (AAP-54976)
 * 修复 system_administrator 角色创建争用条件这种情况最常发生在新 openshift 部署上可导致默认实例组无法创建 (AAP-54964)
 * 修复了 Grafana 通知不能具有空仪表盘 ID 或面板 ID 的问题 (AAP-54654)
 * 提高了接收器中长时间运行的作业、重负载下的群集以及网络不稳定的稳定性 (AAP-53742)
 * 修复了 Platform Auditor 以查看控制器设置 (AAP-53345)
 * 添加了在 CLI 中设置环境变量所缺少的指令以便实现与当前版本的兼容性 (AAP-37812)
 * 修复了 Platform Auditor 以查看 Metrics API 端点 (AAP-36492)
 * automation-controller 已更新到 4.6.21
 * 已将 receptor 更新为 1.6.0

 自动化中心
 * 修复 _ui/v2/ 用户详细信息正确显示数据的问题 (AAP-55957)
 * automation-hub 已更新到 4.10.9
 * python3.11-galaxy-ng 已更新到 4.10.9
 * python3.11-galaxy-importer 已更新到 0.4.34

 基于容器的 Ansible Automation Platform
 * 设置 REDHAT_CANDLEPIN_VERIFY 以更正 CA pem以便控制器可向 subscription.rhsm.redhat.com 发出请求 (AAP-55181)
 * 实现了预检 ansible-core 版本验证 (AAP-54931)
 * 修复了 Ansible 无法为 Linux on Power 收集系统的 UUID 的缺陷 (AAP-54540)
 * 容器化安装程序设置已更新为 2.5-20

 基于 RPM 的 Ansible Automation Platform
 * 修复设置 Automationgateway_disable_https=false 导致安装失败的问题 (AAP-55475)
 * 设置 REDHAT_CANDLEPIN_VERIFY 以更正 CA pem以便控制器可向 subscription.rhsm.redhat.com 发出请求 (AAP-55184)
 * 修复了从其他环境进行还原时 RESOURCE_KEY SECRET_KEY 未更新的问题 (AAP-54944)
 * 修复了初始安装时 EDA DE 凭据填充失败的问题 (AAP-54520)
 * 修复自动化网关的 envoy.log 在轮换后没有接收日志的问题 (AAP-54079)
 * ansible-automation-platform-installer 和安装程序设置已更新为 2.5-19

 其他变更
 * 已将 python3.11-django 更新至 4.2.25

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2397901

https://bugzilla.redhat.com/show_bug.cgi?id=2400450

https://issues.redhat.com/browse/AAP-56352

http://www.nessus.org/u?5479ecbe

https://access.redhat.com/errata/RHSA-2025:18979

插件详情

严重性: High

ID: 271208

文件名: redhat-RHSA-2025-18979.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/10/22

最近更新时间: 2025/10/22

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.0

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N

CVSS 分数来源: CVE-2025-59682

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

风险因素: High

Base Score: 8.7

Threat Score: 6.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2025-59343

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:python3.11-django, cpe:/o:redhat:enterprise_linux:8, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, p-cpe:/a:redhat:enterprise_linux:automation-gateway, p-cpe:/a:redhat:enterprise_linux:automation-gateway-config

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/10/22

漏洞发布日期: 2025/9/24

参考资料信息

CVE: CVE-2025-59343, CVE-2025-59682

CWE: 22, 61

RHSA: 2025:18979