检测

RHEL 6:ipa (RHSA-2015:1462)

medium Nessus 插件 ID 84953

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 ipa 程序包修复了两个安全问题和多个缺陷,现在可用于 Red Hat Enterprise Linux 6。

Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat 身份管理 (IdM) 是一种集中式的认证、身份管理和授权解决方案,同时适用传统企业环境和基于云的企业环境。

在 jQuery 中发现两个跨站脚本 (XSS) 缺陷,可能影响身份管理 Web 管理界面,并可允许经认证的用户向界面中注入任意 HTML 或 Web 脚本。(CVE-2010-5312、CVE-2012-6662)

注意:此更新提供的 IdM 版本不再使用 jQuery。

缺陷补丁:

* 在 FIPS-140 模式下运行的计算机不支持 ipa-server-install、ipa-replica-install 和 ipa-client-install 实用程序。
之前,IdM 不会警告用户此问题。现在,IdM 不允许在 FIPS-140 模式下运行这些实用程序,并且会显示解释消息。(BZ#1131571)

* 如果在运行 ipa-client-install 实用工具时指定或发现 Active Directory (AD) 服务器,实用工具会产生追溯,而不会通知用户这种情况下需要 IdM 服务器。现在,ipa-client-install 会检测 AD 服务器并失败,同时显示解释消息。(BZ#1132261)

* 如果在 httpd 服务器中,IdM 服务器配置为需要 1.1 (TLSv1.1) 或更高版本的 TLS 协议,ipa 实用工具会失败。
通过此更新,使用 TLSv1.1 或更高版本可以按预期运行 ipa。
(BZ#1154687)

* 在特定的高度负载环境下,IdM 客户端安装程序的 Kerberos 认证步骤可能会失败。之前在这种情况下,整个客户端安装将失败。此次更新修改了 ipa-client-install,使其优先使用 TCP 协议,而不是 UDP 协议,并且失败时会重新尝试认证。
(BZ#1161722)

* 如果 ipa-client-install 更新或创建 /etc/nsswitch.conf 文件,sudo 实用工具可能会出现分段错误并意外终止。现在此缺陷已修复,如果 ipa-client-install 修改了 nsswitch.conf 文件的最后一行,会在文件的末尾添加新的行字符。(BZ#1185207)

* 如果 nsslapd-minssf Red Hat Directory Server 配置参数设置为“1”,ipa-client-automount 实用工具会出现“UNWILLING_TO_PERFORM”LDAP 错误并失败。此更新修改了 ipa-client-automount,使其默认情况下针对 LDAP 搜索使用加密连接,现在该实用程序在已指定 nsslapd-minssf 的情况下也可以成功完成。(BZ#1191040)

* 如果在证书颁发机构 (CA) 安装后安装 IdM 服务器失败,“ipa-server-install --uninstall”命令不会执行正确的清除。如果用户发出“ipa-server-install --uninstall”后再次尝试安装服务器,安装会失败。现在“ipa-server-install --uninstall”在上述情况下会删除 CA 相关的文件,且 ipa-server-install 不会出现上述错误消息并失败。(BZ#1198160)

* 在已配置“sss”且 nsswitch.conf 文件中已有该条目的情况下,运行 ipa-client-install 仍会向该文件的 sudoers 行添加“sss”条目。之后,重复的“sss”会导致 sudo 失去响应。现在,如果 nsswitch.conf 中已有“sss”,则 ipa-client-install 不会重复添加。(BZ#1198339)

* 运行 ipa-client-install 后,在特定情况下无法使用 SSH 登录。现在,ipa-client-install 不会破坏 sshd_config 文件,且 sshd 服务可以按预期启动,同时可以在上述情况下使用 SSH 登录。(BZ#1201454)

* /usr/share/ipa/05rfc2247.ldif 文件中 dc 属性的一个错误定义导致在迁移过程中返回虚假错误消息。该属性已修复,但如果在 Red Hat Enterprise Linux 6.7 上运行 copy-schema-to-ca.py 脚本之前先在 Red Hat Enterprise Linux 6.6 上运行该脚本,则该缺陷仍然存在。为了解决此问题,请手动将 /usr/share/ipa/schema/05rfc2247.ldif 复制到 /etc/dirsrv/slapd-PKI-IPA/schema/ 并重新启动 IdM。(BZ#1220788)

建议所有 ipa 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/errata/RHSA-2015:1462

https://access.redhat.com/security/cve/cve-2010-5312

https://access.redhat.com/security/cve/cve-2012-6662

插件详情

严重性: Medium

ID: 84953

文件名: redhat-RHSA-2015-1462.nasl

版本: 2.9

类型: local

代理: unix

发布时间: 2015/7/23

最近更新时间: 2021/2/5

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.8

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.7

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:ipa-server, p-cpe:/a:redhat:enterprise_linux:ipa-server-trust-ad, p-cpe:/a:redhat:enterprise_linux:ipa-client, p-cpe:/a:redhat:enterprise_linux:ipa-python, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:ipa-debuginfo, p-cpe:/a:redhat:enterprise_linux:ipa-admintools, p-cpe:/a:redhat:enterprise_linux:ipa-server-selinux

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2015/7/22

漏洞发布日期: 2014/11/24

参考资料信息

CVE: CVE-2010-5312, CVE-2012-6662

BID: 71106, 71107

RHSA: 2015:1462