检测

RHEL 9Red Hat Ansible Automation Platform 2.6 产品安全和缺陷补丁更新重要[RHSA-2025:19201)

high Nessus 插件 ID 271928

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2025:19201 公告中提及的多个漏洞影响。

 Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。

 安全修复:

 * Automation-platform-uitar-fs 符号链接验证绕过 (CVE-2025-59343)
 * python3.11-django通过 archive.extract() 进行的潜在部分目录遍历 (CVE-2025-59682)
 *自动化-eda-controllerAAP EDA 事件流中的敏感内部标头泄露 (CVE-2025-9908)
 * Automation-eda-controller事件流测试模式暴露 AAP EDA 中的敏感标头 (CVE-2025-9907)

 有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

 包含的更新和补丁:

 Automation Platform
 * 修复当本地用户帐户共享同一电子邮件地址时阻止 SAML 和 AzureAD 认证的问题 (AAP-56518)
 * 更新了认证器表单中的错误处理以匹配 Platform UI 中的其他表单 (AAP-56356)
 * 更新自动填写设置 (AAP-55783)
 * 在订阅向导中添加了步骤允许用户配置自动化分析 (AAP-55094)
 * 无法再从系统设置页面查看/编辑订阅凭据 (AAP-55014)
 * 修复创建自定义角色并选择 Automation Decisions 项目或凭据类型时的权限列表 (AAP-54756)
 * 修复了设置在 API 和 UI 中显示 Red Hat 的方式不一致的问题 (AAP-54276)
 * 修复了“在身份验证映射角色”中加载更多下拉菜单不起作用的问题 (AAP-54049)
 * 修复了没有可用决策环境时决策环境下拉列表显示空下拉列表的问题 (AAP-53844)
 * 已修复 Platform Auditor 角色的组件标签以显示所有组件 (AAP-53551)
 * 修复了拓扑布局和全屏模式 (AAP-51106)
 * 空字符串不再显示在“作业”>“详细信息”页面上的额外变量字段中 (AAP-49448)
 * 在订阅向导中添加了两个新的切换选项以允许使用基本身份验证提取订阅 (AAP-47865)
 * 修复了自动化设置页面中的默认执行环境选择 (AAP-39321)
 * 已将 automation-gateway 更新为 2.6.20251022
 * Automation-gateway-proxy 已更新到 2.6.6-4
 * Automation-platform-ui 已更新到 2.6.2
 * 已将 python3.11-django-ansible-base 更新为 2.6.20251023

 自动化控制器
 * 指标端点不再返回重复的指标 (AAP-56148)
 * 修复了 Platform Auditor 以查看控制器设置 (AAP-55607)
 * 添加了对订阅管理 API 的 Red Hat 用户名和密码的支持 (AAP-54975)
 * 修复了 system_administrator 角色创建争用条件 (AAP-54963)
 * 提高了接收器中长时间运行的作业、重负载下的群集以及网络不稳定的稳定性 (AAP-53742)
 * 修复 ansible.platform 集合不支持默认 Red Hat Ansible Automation Platform 凭据类型的问题 (AAP-41000)
 * automation-controller 已更新到 4.7.4
 * 已将 receptor 更新为 1.6.0

 自动化中心
 * 修复 _ui/v2/ 用户详细信息未正确显示数据的问题 (AAP-54260)
 * automation-hub 已更新到 4.11.2
 * python3.11-galaxy-importer 已更新到 0.4.34
 * python3.11-galaxy-ng 已更新到 4.11.2

 事件驱动型 Ansible
 * automation-eda-controller 已更新到 1.2.1

 基于容器的 Ansible Automation Platform
 * 修复第二次通过现有 AAP 运行安装时 lightspeed containers 配置的问题 (AAP-56263)
 * 设置 REDHAT_CANDLEPIN_VERIFY 以更正 CA pem以便控制器可向 subscription.rhsm.redhat.com 发出请求 (AAP-55180)
 * 实现了 ansible-core 版本验证 (AAP-54932)
 * 容器化安装程序设置已更新为 2.6-2

 基于 RPM 的 Ansible Automation Platform
 * 修复设置 Automationgateway_disable_https=false 导致安装失败的问题 (AAP-55466)
 * 设置 REDHAT_CANDLEPIN_VERIFY 以更正 CA pem以便控制器可向 subscription.rhsm.redhat.com 发出请求 (AAP-55183)
 * 修复从其他环境还原时不更新 RESOURCE_KEY SECRET_KEY 的问题 (AAP-54942)
 * 修复了初始安装时 EDA DE 凭据填充失败的问题 (AAP-54519)
 * 修复自动化网关的 envoy.log 在轮换后没有接收日志的问题 (AAP-51779)
 * ansible-automation-platform-installer 和安装程序设置已更新为 2.6-2

 其他变更
 * 更新 ansible-builder 和 ansible-navigator以默认使用 ansible-Automation-platform-26 命名空间的 EE 图像 (AAP-54934)
 * aap-metrics-utility 已更新到 0.6.1
 * ansible-builder 已更新到 3.1.0-2
 * ansible-navigator 已更新到 25.8.0-2
 * python3.11-daemon 已更新到 3.1.2
 * 已将 python3.11-django 更新至 4.2.25

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2392834

https://bugzilla.redhat.com/show_bug.cgi?id=2392835

https://bugzilla.redhat.com/show_bug.cgi?id=2397901

https://bugzilla.redhat.com/show_bug.cgi?id=2400450

https://issues.redhat.com/browse/AAP-49448

http://www.nessus.org/u?0b046724

https://access.redhat.com/errata/RHSA-2025:19201

插件详情

严重性: High

ID: 271928

文件名: redhat-RHSA-2025-19201.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/10/28

最近更新时间: 2025/10/28

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:N/A:N

CVSS 分数来源: CVE-2025-59682

CVSS v3

风险因素: Medium

基本分数: 6.5

时间分数: 5.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS v4

风险因素: High

Base Score: 8.7

Threat Score: 6.6

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

CVSS 分数来源: CVE-2025-59343

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:automation-eda-controller-worker-services, p-cpe:/a:redhat:enterprise_linux:python3.11-django, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller-base, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller-base-services, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller-event-stream-services, p-cpe:/a:redhat:enterprise_linux:automation-platform-ui, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2025/10/28

漏洞发布日期: 2025/9/24

参考资料信息

CVE: CVE-2025-59343, CVE-2025-59682, CVE-2025-9907, CVE-2025-9908

CWE: 200, 22, 61

RHSA: 2025:19201