检测

RHEL 8/9:Red Hat Ansible Automation Platform 2.5 产品安全和缺陷修复更新(重要)(RHSA-2026:3959)

high Nessus 插件 ID 301388

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 8/9 主机上安装的多个程序包受到 RHSA-2026:3959 公告中提及的多个漏洞影响。

 Red Hat Ansible Automation Platform 为大规模构建、部署和管理 IT 自动化提供了一个企业框架。IT 管理人员可以为如何将自动化应用于各个团队提供全面的指导原则,而自动化开发人员仍然可以自由地利用现有知识编写任务,而不会导致开销增加。Ansible Automation Platform 让整个组织的用户都能够通过简单、强大的无代理语言,共享、审查和管理自动化内容。

 安全修复:

 * Automation-controller:wheel通过恶意wheel文件解包导致的权限升级或任意代码执行 (CVE-2026-24049)
 * Automation-controllerpyasn1 在解码器中存在 DoS 漏洞 (CVE-2026-23490)
 * Automation-gateway通过开放重定向React Router 容易受到 XSS 的影响 (CVE-2026-22029)
 * python3.11-aiohttpAIOHTTP 的 HTTP 解析器 auto_decompress 功能容易受到 zip 炸弹的攻击CVE-2025-69223]
 * python3.11-djangoDjango通过 QuerySet.order_by() 中构建的列别名进行 SQL 注入 (CVE-2026-1312)
 * python3.11-djangoDjango通过构建的列别名导致的 SQL 注入 (CVE-2026-1287)
 * python3.11-djangoDjango通过构建的 HTML 输入造成的拒绝服务CVE-2026-1285
 * python3.11-djangoDjango通过 RasterField 频段索引参数的 SQL 注入 (CVE-2026-1207)
 * python3.11-djangoDjango通过具有重复标头的构建请求造成拒绝服务CVE-2025-14550
 * python3.11-protobufPython Protobuf 中的拒绝服务CVE-2026-0994
 *接受器net/url 中查询参数解析中的内存耗尽 (CVE-2025-61726)

 有关上述安全问题的更多详细信息,包括其影响、CVSS 得分、致谢,以及其他相关信息,请参阅列于“参考”部分的 CVE 页面。

 包含的更新和补丁:

 * Python 已更新到 3.12 (AAP-56567)

 重要:所有用户都必须下载最新版本的 安装程序。尝试使用 先前版本的安装程序安装或升级可导致失败。

 Automation Platform
 * OpenAPI 网关规范现在可准确用于legacy_auth 端点 (AAP-63422)
 * 修复了阻止用户查看包含冒号的完整调查问题选项的缺陷 (AAP-66389)
 * 添加了用于清单来源表单的来源控制分支选项 (AAP-63544)
 * 已将 automation-gateway 更新为 2.5.20260225

 自动化控制器
 * 将标记认证添加到 2.5 (AAP-65488)
 * 修复了作业列表端点使其不再加载作业构件从而获得更好的性能 (AAP-63221)
 * 启用了团队的跨组织凭据共享。在旧 RBAC 功能中进行的变更 (AAP-54804)
 * automation-controller 已更新到 4.6.26

 自动化中心
 * 更新了 _ui/v2 Endowints 以正确执行 RBAC 权限 (AAP-66638)
 * 向 galaxy 添加了静态 OpenAPI 规范重点关注用户可调用的潜在端点 (AAP-66417)
 * automation-hub 已更新到 4.10.12

 事件驱动型 Ansible
 * 替代 RQ 的默认检测信号以调用 register_born允许工作线程在工作线程与 Redis 断开连接的情况下重新注册并消除 Ghost Workers。此外将 rq 版本升级到 2.6.1更新、更稳定的版本 (AAP-56872)
 * automation-eda-controller 已更新到 1.1.16

 基于容器的 Ansible Automation Platform
 * 容器化安装程序设置已更新为 2.5-22

 基于 RPM 的 Ansible Automation Platform
 * 修复了还原未在群集模式下为 redis 正确生成 SSL 证书的问题 (AAP-60991)
 * ansible-automation-platform-installer 和安装程序设置已更新为 2.5-21

 更多变更:
 * ansible-core 已更新到 2.16.16
 * 所有 python3.11- 前缀的 rpm 替换为 python3.12- 前缀 的 rpm。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/updates/classification/#important

http://www.nessus.org/u?de4ef659

http://www.nessus.org/u?8a5ccf41

https://bugzilla.redhat.com/show_bug.cgi?id=2427456

https://bugzilla.redhat.com/show_bug.cgi?id=2428412

https://bugzilla.redhat.com/show_bug.cgi?id=2430472

https://bugzilla.redhat.com/show_bug.cgi?id=2431959

https://bugzilla.redhat.com/show_bug.cgi?id=2432398

https://bugzilla.redhat.com/show_bug.cgi?id=2434432

https://bugzilla.redhat.com/show_bug.cgi?id=2436338

https://bugzilla.redhat.com/show_bug.cgi?id=2436339

https://bugzilla.redhat.com/show_bug.cgi?id=2436340

https://bugzilla.redhat.com/show_bug.cgi?id=2436341

https://bugzilla.redhat.com/show_bug.cgi?id=2436342

http://www.nessus.org/u?e6721f9f

https://access.redhat.com/errata/RHSA-2026:3959

插件详情

严重性: High

ID: 301388

文件名: redhat-RHSA-2026-3959.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2026/3/7

最近更新时间: 2026/3/7

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

Vendor

Vendor Severity: Important

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS 分数来源: CVE-2026-22029

CVSS v3

风险因素: Medium

基本分数: 6.1

时间分数: 5.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

风险因素: High

Base Score: 8.2

Threat Score: 6.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L

CVSS 分数来源: CVE-2026-0994

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-cli, p-cpe:/a:redhat:enterprise_linux:python3.12-aiohttp, p-cpe:/a:redhat:enterprise_linux:python3.12-django, p-cpe:/a:redhat:enterprise_linux:python3.12-protobuf, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:receptor, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:receptorctl, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:automation-controller, p-cpe:/a:redhat:enterprise_linux:automation-controller-server, p-cpe:/a:redhat:enterprise_linux:automation-controller-ui, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, p-cpe:/a:redhat:enterprise_linux:automation-gateway, p-cpe:/a:redhat:enterprise_linux:automation-gateway-config

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2026/3/6

漏洞发布日期: 2026/1/5

参考资料信息

CVE: CVE-2025-14550, CVE-2025-61726, CVE-2025-69223, CVE-2026-0994, CVE-2026-1207, CVE-2026-1285, CVE-2026-1287, CVE-2026-1312, CVE-2026-22029, CVE-2026-23490, CVE-2026-24049

CWE: 167, 22, 674, 770, 79, 89

RHSA: 2026:3959