检测

RHEL 9Red Hat Ansible Automation Platform 2.6 产品安全和缺陷补丁更新重要[RHSA-2025:23070)

critical Nessus 插件 ID 278140

语言:

简介

远程 Red Hat 主机缺少安全更新。

描述

远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2025:23070 公告中提及的一个漏洞影响。

 Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。

 安全修复:

 * Automation-controllerDjango SQL 注入 (CVE-2025-64459)
 * python3.11-djangoDjango SQL 注入 (CVE-2025-64459)

 有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

 包含的更新和补丁:

 Automation Platform
 * 现在默认启用 IPv6 和 IPv4/IPv6 双堆栈支持 (AAP-58923)
 * 修复通过 /api/eda/ 或 /api/controller/ 端点分配权限时可发生的服务器错误 (AAP-58622)
 * 已将 automation-gateway 更新为 2.6.20251210
 * 已将 python3.11-django-ansible-base 更新为 2.6.20251210

 Automation Platform UI
 * 修复了在相关联的项目删除后作业模板没有保持可编辑状态的问题 (AAP-58467)
 * 修复了作业详细信息页面上的项目状态更新链接断开的缺陷 (AAP-57215)
 * 修复了从“概览”页面访问“关于”页面时在“关于”页面中缺少品牌徽标的问题 (AAP-57133)
 * 修复了“角色”页面中的“资源类型”筛选器没有正确按资源类型筛选的问题 (AAP-56691)
 * 修复了自动触发项目更新时“启动者”字段在 UI 中显示为空白的问题 (AAP-56643)
 * 已更新 playbook 选择下拉菜单以便在项目中只有一个 playbook 时自动选择 (AAP-56279)
 * 修复清单来源中缺少来源控制分支选项的问题 (AAP-56149)
 * 身份验证器标签已从“Azuread”更新到“Azure AD” (AAP-55677)
 * 修复了如果调查使用 ansible.controller 集合创建默认值则该调查的编辑表单不会显示在 UI 中的缺陷 (AAP-51548)
 * 改进了认证器映射详细信息的标签和描述 (AAP-51295)
 * 修复远程控制器和远程注册表的描述 (AAP-49838)
 * 将 源代码管理分支添加到项目同步作业详细信息 (AAP-49450)
 * 修复了集合超链接在私人自动化中心的卡片视图中中断的问题 (AAP-49006)
 * 修复了在将主机添加到组时搜索功能无法缩小结果范围的问题 (AAP-47510)
 * 改进自定义登录文本以提高可读性并允许使用链接等 HTML 标记 (AAP-47462)
 * 修复了在“添加现有主机”对话框中按主机名筛选无法正常工作的问题 (AAP-45534)
 * 修复了通知中指向工作流作业模板输出的 url (AAP-43796)
 * 搜索过滤器现在可在主机列表内的任何页面上工作 (AAP-42679)
 * 修复了从项目或清单创建新模板未自动填充“项目”字段的问题 (AAP-41725)
 * 修复当用户具有权限时模板选项卡上的权限被拒绝消息产生误导的问题 (AAP-40800)
 * 修复“详细信息”页面中存储库 URL 不正确的问题 (AAP-40160)
 * 修复了一个调查验证问题其中问题的最小长度值可设置为大于长度上限 (AAP-39932)
 * 修复了评估长度时文本被视为数字的调查验证问题 (AAP-39931)
 * 修复了用户无法创建构建清单同步计划的问题 (AAP-38660)
 * 修复了编辑或创建计划时未保存调查答案的问题 (AAP-37923)
 * 修复无法编辑计划上实例群组的缺陷 (AAP-37872)
 * 为 Automation hub 的复选框“仅已签名的集合”和“同步所有依存关系”引入了选项部分 (AAP-36592)
 * 添加关于同步 Automation hub 的存储库之外的依存关系的信息消息 (AAP-36592)
 * 修复了概览视图和详细视图之间的任务时间戳不一致的问题 (AAP-36588)
 * 修复了默认未在创建凭据表单中选中 verify_ssl 复选框的问题 (AAP-33889)
 * 更新了 extra vars 字段中大数字的格式 (AAP-31805)
 * Automation-platform-ui 已更新到 2.6.4

 自动化控制器
 * 将 x-ai-description 添加到控制器方案以便为每个端点提供 AI 友好的描述 (AAP-59819)
 * 修复了长时间运行的作业中的 Redis broken pipe 错误 (AAP-59728)
 * 修复了 GitHub 应用程序安装访问令牌查找以接受 Iv2 客户端 ID (AAP-58880)
 * 已更新控制器现在在同步启用了“允许分支替代”的项目时使用强制标记 (AAP-58533)
 * 已将接收器集合升级到兼容 RHEL 10 的 2.0.8版 (AAP-58421)
 * 为支持 MCP VP 更新了 OpenAPI 规范的多个方面 (AAP-53640)
 * automation-controller 已更新到 4.7.6

 自动化中心
 * 已将自动填写属性添加到 Automation Hub API 密码字段 (AAP-59910)
 * 在启用 API 访问日志记录的情况下继续进行 Automation hub 升级 (AAP-59886)
 * 修复具有团队管理员角色的用户的认证失败 (AAP-58898)
 * automation-hub 已更新到 4.11.4
 * python3.11-galaxy-importer 已更新到 0.4.36
 * python3.11-galaxy-ng 已更新到 4.11.4

 事件驱动型 Ansible
 * 添加 x-ai-description 至 EDA 端点以供 AAP MCP 服务器消耗 (AAP-58431)
 * automation-eda-controller 已更新到 1.2.3

 基于容器的 Ansible Automation Platform
 * 修复了卸载/重新安装接收器作业后由于仍然存在同名的过时已退出容器而无法启动的问题 (AAP-59609)
 * 根据系统资源为运行 AAP 服务容器的用户配置 podman PID 限制、用于 inotify 和内核密钥的 sysctls以及 ulimit nofile (AAP-59438)
 * 容器化安装程序设置已更新为 2.6-4

 其他变更
 * Ansible 开发工具现在可用于 RHEL 10
 * ansible-builder 已更新到 3.1.1
 * ansible-creator 已更新到 25.12.0
 * ansible-dev-environment 已更新到 25.12.2
 * ansible-dev-tools 已更新到 25.12.0
 * ansible-lint 已更新到 25.12.0
 * ansible-navigator 已更新到 25.12.0
 * ansible-sign 已更新到 0.1.4
 * bindep 已更新到 2.13.0
 * molecule 已更新到 25.12.0
 * python3.11-ansible-compat 已更新到 25.12.0
 * python3.11-distlib 已更新到 0.4.0
 * 已将 python3.11-django 更新至 4.2.26
 * python3.11-execnet 已更新到 2.1.2
 * python3.11-gunicorn 已更新到 23.0.0
 * python3.11-pluggy 已更新到 1.6.0
 * python3.11-pytest 已更新到 9.0.1
 * python3.11-pytest-ansible 已更新到 25.12.0
 * python3.11-pytest-xdist 已更新到 3.8.0
 * python3.11-ruamel-yaml-clib 已更新到 0.2.15
 * python3.11-subprocess-tee 已更新到 0.4.2
 * python3.11-tox-ansible 已更新到 25.12.0
 * python3.11-typing-extensions 已更新到 4.15.0

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的 Automation-controller-venv-tower 和/或 python3.11-django 程序包。

另见

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2412651

http://www.nessus.org/u?49c58108

https://access.redhat.com/errata/RHSA-2025:23070

插件详情

严重性: Critical

ID: 278140

文件名: redhat-RHSA-2025-23070.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2025/12/10

最近更新时间: 2025/12/10

支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: High

分数: 7.7

Vendor

Vendor Severity: Important

CVSS v2

风险因素: High

基本分数: 9.4

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS 分数来源: CVE-2025-64459

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 8.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:python3.11-django, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2025/12/10

漏洞发布日期: 2025/11/5

参考资料信息

CVE: CVE-2025-64459

CWE: 89

RHSA: 2025:23070