RHEL 8/9:Red Hat Ansible Automation Platform 2.5 产品安全和缺陷修复更新(重要)(RHSA-2025:23069)
critical Nessus 插件 ID 278146
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
远程 Redhat Enterprise Linux 8/9 主机上安装的多个程序包受到 RHSA-2025:23069 公告中提及的多个漏洞影响。Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。
安全修复:
* Automation-controllerDjango SQL 注入 (CVE-2025-64459)
* python3.11-djangoDjango SQL 注入 (CVE-2025-64459)
*自动化-eda-controllerAAP EDA 事件流中的敏感内部标头泄露 (CVE-2025-9908)
* Automation-eda-controller事件流测试模式暴露 AAP EDA 中的敏感标头 (CVE-2025-9907)
* Automation-gateway网关中的不当路径验证允许凭据外泄 (CVE-2025-9909)
* Automation-gateway通过缺少数据大小检查导致的 Axios DoS (CVE-2025-58754)
*接受器由于 HANDSHAKE_DONE 帧提早导致 quic-go 崩溃 (CVE-2025-59530)
有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。
包含的更新和补丁:
Automation Platform
* 修复了多种属性的使用 和 条件。之前身份验证映射会跳过缺少的属性使用此补丁仅当所有属性都存在且满足条件时才会应用映射 (AAP-53523)
* 添加了对订阅管理初始页面的 UI 更改 (AAP-47864)
* 修复了作业模板在相关联的项目删除后就无法保持可编辑状态的问题 (AAP-58474)
* 已将 automation-gateway 更新为 2.5.20251210
* 已将 python3.11-django-ansible-base 更新为 2.5.20251210
Automation Controller
* 修复作业在默认未安装 python 3.9 且启用 fapolicyd 的系统上失败的问题 (AAP-58479)
* 修复接收器中的一个问题某些边缘情况造成 JSON 无法解析 (AAP-57253)
* 修复了 GitHub 应用程序安装访问令牌查找以接受 Iv2 客户端 ID (AAP-58882)
* 已更新控制器现在在同步启用了“允许分支替代”的项目时使用强制标记 (AAP-58532)
* 修复了长时间运行的作业中的 Redis broken pipe 错误 (AAP-59727)
* 修复了 main_unifiedjobtemplate.org_unique 列不存在迁移错误 (AAP-56221)
* ansible-runner 已更新到 2.4.2
* automation-controller 已更新到 4.6.23
* Automation-controller-fapolicyd 已更新到 1.0-5
* 已将 receptor 更新为 1.6.2
Automation Hub
* 向 Automation Hub API 密码字段添加了自动填写属性 (AAP-59912)
* automation-hub 已更新到 4.10.10
* python3.11-galaxy-ng 已更新到 4.10.10
* python3.11-galaxy-importer 已更新到 0.4.36
事件驱动型 Ansible
* 添加了 mTLS 事件流的凭据类型 (AAP-55786)
* 修复了 redis_tls 不支持 yes/no 等布尔值的问题 (AAP-52828)
* automation-eda-controller 已更新到 1.1.14
基于容器的 Ansible Automation Platform
* 修复了 podman 5.6 与自动化控制器容器配置的兼容性 (AAP-58546)
* 从 EDA 设置文件中删除了 EVENT_STREAM_MTLS_BASE_URL避免了使用 eda_extra_settings 变量时的重复条目 (AAP-57587)
* RHEL 最低版本已更新至 9.4 (AAP-56386)
* nginx 已更新到 1.24 (AAP-56203)
* 容器化安装程序设置已更新到 2.5-21
基于 RPM 的 Ansible Automation Platform
* 修复清单中没有 Automation Hub 节点时安装程序在执行环境图像上传期间失败的问题 (AAP-57122)
* RHEL 最低版本已更新到 8.10 和 9.4 (AAP-56386)
* nginx 已更新到 1.24 (AAP-56205)
* ansible-automation-platform-installer 和安装程序设置已更新为 2.5-20
其他变更
* ansible-builder 已更新到 3.1.1
* ansible-creator 已更新到 25.12.0
* ansible-dev-environment 已更新到 25.12.2
* ansible-dev-tools 已更新到 25.12.0
* ansible-lint 已更新到 25.12.0
* ansible-navigator 已更新到 25.12.0
* ansible-sign 已更新到 0.1.4
* bindep 已更新到 2.13.0
* molecule 已更新到 25.12.0
* python3.11-ansible-compat 已更新到 25.12.0
* python3.11-distlib 已更新到 0.4.0
* 已将 python3.11-django 更新至 4.2.26
* python3.11-execnet 已更新到 2.1.2
* python3.11-gunicorn 已更新到 23.0.0
* python3.11-pluggy 已更新到 1.6.0
* python3.11-pytest 已更新到 9.0.1
* python3.11-pytest-ansible 已更新到 25.12.0
* python3.11-pytest-xdist 已更新到 3.8.0
* python3.11-ruamel-yaml-clib 已更新到 0.2.15
* python3.11-subprocess-tee 已更新到 0.4.2
* python3.11-tox-ansible 已更新到 25.12.0
* python3.11-typing-extensions 已更新到 4.15.0
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=2392834
https://bugzilla.redhat.com/show_bug.cgi?id=2392835
https://bugzilla.redhat.com/show_bug.cgi?id=2392836
https://bugzilla.redhat.com/show_bug.cgi?id=2394735
https://bugzilla.redhat.com/show_bug.cgi?id=2403125
https://bugzilla.redhat.com/show_bug.cgi?id=2412651
插件详情
严重性: Critical
ID: 278146
文件名: redhat-RHSA-2025-23069.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/12/10
最近更新时间: 2025/12/10
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: High
分数: 7.7
Vendor
Vendor Severity: Important
CVSS v2
风险因素: High
基本分数: 9.4
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N
CVSS 分数来源: CVE-2025-64459
CVSS v3
风险因素: Critical
基本分数: 9.1
时间分数: 8.2
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
时间矢量: CVSS:3.0/E:P/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-ui, p-cpe:/a:redhat:enterprise_linux:python3.11-ansible-compat, p-cpe:/a:redhat:enterprise_linux:ansible-lint, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2bapi_documentation, p-cpe:/a:redhat:enterprise_linux:python3.11-ansible-runner, p-cpe:/a:redhat:enterprise_linux:python3.11-pytest-ansible, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2bactivitystream, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller-base-services, p-cpe:/a:redhat:enterprise_linux:molecule, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller-event-stream-services, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2brest_filters, p-cpe:/a:redhat:enterprise_linux:ansible-automation-platform-installer, p-cpe:/a:redhat:enterprise_linux:receptor, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2bauthentication, p-cpe:/a:redhat:enterprise_linux:ansible-navigator, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller-base, p-cpe:/a:redhat:enterprise_linux:automation-controller, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2brbac, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2bchannel_auth, p-cpe:/a:redhat:enterprise_linux:ansible-dev-tools, p-cpe:/a:redhat:enterprise_linux:python3.11-pluggy, p-cpe:/a:redhat:enterprise_linux:ansible-sign, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller-worker-services, p-cpe:/a:redhat:enterprise_linux:python3.11-django, p-cpe:/a:redhat:enterprise_linux:python3.11-subprocess-tee, p-cpe:/a:redhat:enterprise_linux:bindep, p-cpe:/a:redhat:enterprise_linux:python3.11-distlib, p-cpe:/a:redhat:enterprise_linux:ansible-runner, p-cpe:/a:redhat:enterprise_linux:python3.11-ruamel-yaml-clib, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2bredis_client, p-cpe:/a:redhat:enterprise_linux:automation-controller-fapolicyd, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:python3.11-tox-ansible, p-cpe:/a:redhat:enterprise_linux:ansible-builder, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2boauth2_provider, p-cpe:/a:redhat:enterprise_linux:python3.11-pytest-xdist, p-cpe:/a:redhat:enterprise_linux:automation-gateway, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2bjwt_consumer, p-cpe:/a:redhat:enterprise_linux:automation-gateway-config, p-cpe:/a:redhat:enterprise_linux:ansible-dev-environment, p-cpe:/a:redhat:enterprise_linux:receptorctl, p-cpe:/a:redhat:enterprise_linux:python3.11-pytest, p-cpe:/a:redhat:enterprise_linux:automation-controller-server, p-cpe:/a:redhat:enterprise_linux:python3.11-typing-extensions, p-cpe:/a:redhat:enterprise_linux:ansible-creator, p-cpe:/a:redhat:enterprise_linux:python3.11-execnet, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:automation-eda-controller, p-cpe:/a:redhat:enterprise_linux:python3.11-galaxy-ng, p-cpe:/a:redhat:enterprise_linux:automation-controller-cli, p-cpe:/a:redhat:enterprise_linux:python3.11-gunicorn, p-cpe:/a:redhat:enterprise_linux:automation-hub, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, p-cpe:/a:redhat:enterprise_linux:python3.11-galaxy-importer, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base%2bfeature_flags, p-cpe:/a:redhat:enterprise_linux:ansible-dev-tools%2bserver, p-cpe:/a:redhat:enterprise_linux:python3.11-django-ansible-base
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2025/12/10
漏洞发布日期: 2025/9/11
参考资料信息
CVE: CVE-2025-58754, CVE-2025-59530, CVE-2025-64459, CVE-2025-9907, CVE-2025-9908, CVE-2025-9909