RHEL 6:pki-core (RHSA-2015:1347)
medium Nessus 插件 ID 84940
语言:
简介
远程 Red Hat 主机缺少 pki-core 安全更新。描述
远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2015:1347 公告中提及的漏洞的影响。Red Hat 证书系统是一个企业软件系统,旨在管理企业公钥基础架构 (PKI) 部署。PKI Core 包含 Red Hat 证书系统需要的基本程序包,该系统组成证书授权 (CA) 子系统。
在 Red Hat Certificate System Agent 和 End Entity 页面中发现多种跨站脚本缺陷。攻击者可利用这些缺陷,对使用证书系统的 Web 界面的受害者执行跨站脚本 (XSS) 攻击。 (CVE-2012-2662)
此更新还修复以下缺陷:
* 以前,pki-core 需要 SSL 版本 3 (SSLv3) 协议范围与 389-ds-base 程序包进行通信。但是,对 389-ds-base 的最近更改禁用了 SSLv3 的默认使用并强制使用安全协议(例如 TLS 协议)支持的协议范围。因此,在身份管理 (IdM) 服务器安装期间,无法安装 CA。此更新将与 TLS 相关的参数添加到 CA 的 server.xml 文件以修复此问题,并且运行 ipa-server-install 命令现在会按预期安装 CA。 (BZ#1171848)
* 以前,尝试在安装 OpenJDK 版本 1.8.0 的系统中配置独立的 CA 时,ipa-server-install 脚本将失败。
已修改 pki-core 构建和运行时相关内容,以在独立的 CA 配置期间使用 OpenJDK 版本 1.7.0。因此,这种情况下 ipa-server-install 不再失败。 (BZ#1212557)
* 从运行 CA 服务的 Red Hat Enterprise Linux 6 副本创建 Red Hat Enterprise Linux 7 副本时,已删除初始 Red Hat Enterprise Linux 6 CA 主机的 IdM 部署中有时会出现失败。
这可能在某些情况下造成问题,例如从 Red Hat Enterprise Linux 6 迁移到 Red Hat Enterprise Linux 7。 、 与初始主控端一起删除。此更新添加了 restore-subsystem-user.py 脚本,该脚本可在所述情况下还原子系统用户,从而使管理员能够在此情况下创建 Red Hat Enterprise Linux 7 副本。 (BZ#1225589)
* 多个 Java 导入语句指定通配符参数。但是,由于在 Red Hat Enterprise Linux 6 维护分支包含的源代码导入语句中使用通配符参数,命名空间冲突为使用错误的类创造了可能。因此,标记处理系统 (TPS) 重建测试失败并发出错误消息。此更新通过在所有受影响的区域中提供完全命名的类来解决 缺陷,并且 TPS 重建测试不再失败。 (BZ#1144188)
* 以前,pki-core 在 TPS 重建测试期间无法通过衍合的 CMake 构建系统版本进行构建。已更新 pki-core 构建文件以符合衍合的 CMake 版本。因此,pki-core 在所述情况下会成功构建。 (BZ#1144608)
建议 pki-core 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
依据 RHSA-2015:1347 中的指南更新 RHEL pki-core 程序包。另见
http://www.nessus.org/u?d4386be9
https://access.redhat.com/errata/RHSA-2015:1347
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1144188
https://bugzilla.redhat.com/show_bug.cgi?id=1144608
插件详情
严重性: Medium
ID: 84940
文件名: redhat-RHSA-2015-1347.nasl
版本: 2.10
类型: local
代理: unix
发布时间: 2015/7/23
最近更新时间: 2025/4/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.0
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2012-2662
CVSS v3
风险因素: Medium
基本分数: 6.1
时间分数: 5.3
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:pki-ca, p-cpe:/a:redhat:enterprise_linux:pki-common-javadoc, p-cpe:/a:redhat:enterprise_linux:pki-common, p-cpe:/a:redhat:enterprise_linux:pki-setup, p-cpe:/a:redhat:enterprise_linux:pki-selinux, p-cpe:/a:redhat:enterprise_linux:pki-util, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:pki-java-tools, p-cpe:/a:redhat:enterprise_linux:pki-native-tools, p-cpe:/a:redhat:enterprise_linux:pki-java-tools-javadoc, p-cpe:/a:redhat:enterprise_linux:pki-symkey, p-cpe:/a:redhat:enterprise_linux:pki-util-javadoc, p-cpe:/a:redhat:enterprise_linux:pki-silent, p-cpe:/a:redhat:enterprise_linux:pki-core
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2015/7/22
漏洞发布日期: 2012/8/13
参考资料信息
CVE: CVE-2012-2662
BID: 54608