检测

MagicLinux 4 ipa-3.0.0-47.0.1.AXS4 (AXSA:2015-419:01)

medium Nessus 插件 ID 289793

语言:

简介

远程iraclelinux 主机缺少一个或多个安全更新。

描述

远程iraclelinux 4 主机上存在安装的程序包该程序包受到 AXSA:2015-419:01 公告中提及的多个漏洞的影响。

 IPA 是一款集成解决方案,可提供集中管理的身份(计算机、用户、虚拟机、组、身份验证凭据)、策略(配置设置、访问控制信息)和审核(事件、日志及其分析)。
 此版本修复的安全问题
 CVE-2010-5312 在 1.10.0 之前的 jQuery UI 中对话框小组件中的 jquery.ui.dialog.js 存在跨站脚本 (XSS) 漏洞允许远程攻击者通过 title 选项注入任意 Web 脚本或 HTML。
 CVE-2012-6662 在 1.10.0 之前版本的 jQuery UI 中工具提示小组件内 jquery.ui.tooltip.js 内默认内容选项的跨站脚本 (XSS) 漏洞允许远程攻击者通过标题属性注入任意 Web 脚本或 HTML自动完成组合框演示中未得到正确处理。
 修复的缺陷:
 * 在 FIPS-140 模式下运行的计算机不支持 ipa-server-install、ipa-replica-install 和 ipa-client-install 实用程序。以前,IdM 不会警告用户此问题。现在此更新已修复该缺陷。
 * 如果在运行 ipa-client-install 实用工具时指定或发现 Active Directory (AD) 服务器,实用工具会产生追溯,而不会通知用户这种情况下需要 IdM 服务器。
 此缺陷已通过此更新修复。
 * 如果在 httpd 服务器中,IdM 服务器配置为需要 1.1 (TLSv1.1) 或更高版本的 TLS 协议,ipa 实用工具会失败。通过此更新,使用 TLSv1.1 或更高版本可以按预期运行 ipa。
 * 在特定的高度负载环境下,IdM 客户端安装程序的 Kerberos 认证步骤可能会失败。以前,在这种情况下,整个客户端安装将失败。为修复此缺陷此更新对 ipa-client-install 进行了修改使其首选 TCP 协议而不是 UDP 协议并在失败时重试身份验证尝试。
 * 如果 ipa-client-install 更新或创建 /etc/nsswitch.conf 文件,sudo 实用工具可能会出现分段错误并意外终止。现在此缺陷已修复,如果 ipa-client-install 修改了 nsswitch.conf 文件的最后一行,会在文件的末尾添加新的行字符。
 * 当 nsslapd-minssf Red Hat Directory Server 配置参数设置为 1 时ipa-client-automount 实用工具因 UNWILLING_TO_PERFORM LDAP 错误而失败。通过此更新修复了此问题。
 * 如果在证书颁发机构 (CA) 安装后安装 IdM 服务器失败ipa-server-install --uninstall 命令不会执行正确的清除。用户发布 ipa-server-install --uninstall 然后尝试再次安装服务器后安装失败。此缺陷已通过此更新修复。
 * 在已配置 sss且文件中已有 sss 条目的情况下运行 ipa-client-install 仍会向 nsswitch.conf 的 sudoers 行添加 sss 条目。重复的 sss进而导致 sudo 失去响应。此缺陷已通过此更新修复。
 * 运行 ipa-client-install 后,在特定情况下无法使用 SSH 登录。现在 ipa-client-install 不再损坏 sshd_config 文件并且 sshd 服务可以按预期启动。
 * /usr/share/ipa/05rfc2247.ldif 文件中 dc 属性的一个错误定义导致在迁移过程中返回虚假错误消息。该属性已修复但如果在 Asianux Server 4 SP5 上运行 copy-schema-to-ca.py 脚本之前先在 Asianux Server 4 SP4 上运行该脚本则该缺陷仍然存在。通过此更新修复了该问题。

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://tsn.miraclelinux.com/en/node/5766

插件详情

严重性: Medium

ID: 289793

文件名: miracle_linux_AXSA-2015-419.nasl

版本: 1.1

类型: local

发布时间: 2026/1/16

最近更新时间: 2026/1/16

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.8

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2012-6662

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2010-5312

漏洞信息

CPE: p-cpe:/a:miracle:linux:ipa-client, p-cpe:/a:miracle:linux:ipa-server, p-cpe:/a:miracle:linux:ipa-server-trust-ad, p-cpe:/a:miracle:linux:ipa-server-selinux, p-cpe:/a:miracle:linux:ipa-python, p-cpe:/a:miracle:linux:ipa-admintools, cpe:/o:miracle:linux:4

必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2015/8/13

漏洞发布日期: 2012/11/26

参考资料信息

CVE: CVE-2010-5312, CVE-2012-6662