RHEL 7:sssd (RHSA-2015:2355)
medium Nessus 插件 ID 86983
语言:
简介
远程 Red Hat 主机缺少安全更新。描述
远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2015:2355 公告中提及的漏洞的影响。系统安全服务守护进程 (SSSD) 服务提供一系列守护进程,用于管理对远程目录的访问和认证机制。
发现 SSSD 的权限属性证书 (PAC) 响应器插件每次认证请求时,都会泄漏一小部分内存。
远程攻击者可能利用此缺陷,向配置为使用 PAC 响应器插件进行认证的 Kerberized 后台应用程序反复发送请求,从而耗尽系统全部可用内存。
(CVE-2015-5292)
sssd 程序包已升级到上游版本 1.13.0,其提供了对之前版本的多项缺陷补丁和增强。
(BZ#1205554)
有关增强的信息,请参阅“参考”部分中链接的 Red Hat Enterprise Linux 7.2 发行说明:
* SSSD 智能卡支持 (BZ#854396)
* SSSD 中的缓存认证 (BZ#910187)
* SSSD 支持替代自动发现的 AD 站点 (BZ#1163806)
* SSSD 现在可拒绝针对锁定帐户的 SSH 访问 (BZ#1175760)
* SSSD 启用单个客户端上的 UID 和 GID 映射 (BZ#1183747)
* 已缓存条目的后台刷新 (BZ#1199533)
* 针对一次性和长期密码的多步骤提示 (BZ#1200873)
* initgroups 操作的缓存 (BZ#1206575)
修复的缺陷:
* 当 IdM 服务器上的 SELinux 用户内容设置为空字符串时,SSSD SELinux 评估实用工具会返回错误。 (BZ#1192314)
* 如果 ldap_child 进程未能初始化凭据并多次报错退出,那么在某些情况下,创建文件的操作会因 i 节点不足而逐渐开始失败。 (BZ#1198477)
* SRV 查询使用硬编码 TTL 超时,而需要 SRV 查询在某一时间内保持有效的环境遭到阻断。
现在,SSSD 会解析 DNS 数据包的 TTL 值。 (BZ#1199541)
* 以前,initgroups 操作非常耗时。现在,使用 AD 后端和禁用的 ID 映射进行设置时,登录和 ID 处理速度会加快。 (BZ#1201840)
* 当具有 Red Hat Enterprise Linux 7.1 或更高版本的 IdM 客户端与具有 Red Hat Enterprise Linux 7.0 或更低版本的服务器进行连接时,使用 AD 受信域进行验证导致 sssd_be 进程意外终止。 (BZ#1202170)
* 如果 HBAC 处理过程中出现复制冲突条目,会拒绝用户访问。现在,将跳过复制冲突条目并允许用户访问。 (BZ#1202245)
* SID 的数组不再包含未初始化值,且 SSSD 不会崩溃。 (BZ#1204203)
* SSSD 支持不同域控制器的 GPO,而且处理不同域控制器的 GPO 时不会崩溃。
(BZ#1205852)
* 如果 sudo 规则所包含的群组的名称中含有特殊字符(例如括号),则 SSSD 无法刷新这些规则。 (BZ#1208507)
* 如果服务器已限定 IPA 名称,则客户端不会限定这些名称,而且即使服务器使用 default_domain_suffix,仍会解析 IdM 组成员。 (BZ#1211830)
* 已默认禁用内部缓存清理任务以提升 sssd_be 进程的性能。 (BZ#1212489)
* 现在 autofs 映射不会考虑 default_domain_suffix。
(BZ#1216285)
* 用户可以设置 subdomain_inherit=ignore_group-members 以禁用提取受信域的群组成员。 (BZ#1217350)
* 群组解析失败,并出现错误消息:错误: 14(地址错误)。已修复二进制 GUID 处理。 (BZ#1226119)
已添加增强:
* 已在手册页中改进对 default_domain_suffix 的描述。 (BZ#1185536)
* 借助新的 %0 模板选项,SSSD IdM 客户端的用户现在可使用 AD 上设置的主目录。 (BZ#1187103)
建议所有 sssd 用户升级这些更新后的程序包,其中修正了这些问题并添加这些增强。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
http://www.nessus.org/u?085b62d2
http://www.nessus.org/u?cc9c2a84
https://access.redhat.com/errata/RHSA-2015:2355
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=1007968
https://bugzilla.redhat.com/show_bug.cgi?id=1163806
https://bugzilla.redhat.com/show_bug.cgi?id=1187103
https://bugzilla.redhat.com/show_bug.cgi?id=1187146
https://bugzilla.redhat.com/show_bug.cgi?id=1192314
https://bugzilla.redhat.com/show_bug.cgi?id=1199445
https://bugzilla.redhat.com/show_bug.cgi?id=1200873
https://bugzilla.redhat.com/show_bug.cgi?id=1201840
https://bugzilla.redhat.com/show_bug.cgi?id=1202245
https://bugzilla.redhat.com/show_bug.cgi?id=1202724
https://bugzilla.redhat.com/show_bug.cgi?id=1203642
https://bugzilla.redhat.com/show_bug.cgi?id=1205144
https://bugzilla.redhat.com/show_bug.cgi?id=1205160
https://bugzilla.redhat.com/show_bug.cgi?id=1205554
https://bugzilla.redhat.com/show_bug.cgi?id=1206189
https://bugzilla.redhat.com/show_bug.cgi?id=1206565
https://bugzilla.redhat.com/show_bug.cgi?id=1206566
https://bugzilla.redhat.com/show_bug.cgi?id=1206571
https://bugzilla.redhat.com/show_bug.cgi?id=1211830
https://bugzilla.redhat.com/show_bug.cgi?id=1214337
https://bugzilla.redhat.com/show_bug.cgi?id=1214716
https://bugzilla.redhat.com/show_bug.cgi?id=1214718
https://bugzilla.redhat.com/show_bug.cgi?id=1214719
https://bugzilla.redhat.com/show_bug.cgi?id=1216285
https://bugzilla.redhat.com/show_bug.cgi?id=1217127
https://bugzilla.redhat.com/show_bug.cgi?id=1217559
https://bugzilla.redhat.com/show_bug.cgi?id=1219285
https://bugzilla.redhat.com/show_bug.cgi?id=1234722
https://bugzilla.redhat.com/show_bug.cgi?id=1242942
https://bugzilla.redhat.com/show_bug.cgi?id=1244949
https://bugzilla.redhat.com/show_bug.cgi?id=1246489
https://bugzilla.redhat.com/show_bug.cgi?id=1249015
https://bugzilla.redhat.com/show_bug.cgi?id=1250135
https://bugzilla.redhat.com/show_bug.cgi?id=1254184
https://bugzilla.redhat.com/show_bug.cgi?id=1254189
https://bugzilla.redhat.com/show_bug.cgi?id=1254518
https://bugzilla.redhat.com/show_bug.cgi?id=1259512
https://bugzilla.redhat.com/show_bug.cgi?id=1261155
https://bugzilla.redhat.com/show_bug.cgi?id=1263587
https://bugzilla.redhat.com/show_bug.cgi?id=1263735
https://bugzilla.redhat.com/show_bug.cgi?id=1266107
https://bugzilla.redhat.com/show_bug.cgi?id=1267176
https://bugzilla.redhat.com/show_bug.cgi?id=1267580
https://bugzilla.redhat.com/show_bug.cgi?id=1267836
https://bugzilla.redhat.com/show_bug.cgi?id=1267837
插件详情
严重性: Medium
ID: 86983
文件名: redhat-RHSA-2015-2355.nasl
版本: 2.12
类型: local
代理: unix
发布时间: 2015/11/20
最近更新时间: 2025/4/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
Vendor
Vendor Severity: Low
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C
CVSS 分数来源: CVE-2015-5292
CVSS v3
风险因素: Medium
基本分数: 6.5
时间分数: 5.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:sssd-common-pac, p-cpe:/a:redhat:enterprise_linux:sssd-tools, p-cpe:/a:redhat:enterprise_linux:libsss_nss_idmap-devel, p-cpe:/a:redhat:enterprise_linux:sssd-krb5, p-cpe:/a:redhat:enterprise_linux:python-sss-murmur, p-cpe:/a:redhat:enterprise_linux:sssd-ad, p-cpe:/a:redhat:enterprise_linux:sssd-client, p-cpe:/a:redhat:enterprise_linux:sssd-dbus, p-cpe:/a:redhat:enterprise_linux:libsss_simpleifp, p-cpe:/a:redhat:enterprise_linux:libsss_idmap, p-cpe:/a:redhat:enterprise_linux:sssd-common, p-cpe:/a:redhat:enterprise_linux:sssd-ipa, p-cpe:/a:redhat:enterprise_linux:libsss_idmap-devel, p-cpe:/a:redhat:enterprise_linux:python-libsss_nss_idmap, p-cpe:/a:redhat:enterprise_linux:python-libipa_hbac, p-cpe:/a:redhat:enterprise_linux:sssd-libwbclient, p-cpe:/a:redhat:enterprise_linux:libipa_hbac-devel, p-cpe:/a:redhat:enterprise_linux:libsss_simpleifp-devel, p-cpe:/a:redhat:enterprise_linux:python-sss, p-cpe:/a:redhat:enterprise_linux:sssd-proxy, p-cpe:/a:redhat:enterprise_linux:libsss_nss_idmap, p-cpe:/a:redhat:enterprise_linux:sssd, p-cpe:/a:redhat:enterprise_linux:sssd-libwbclient-devel, p-cpe:/a:redhat:enterprise_linux:sssd-ldap, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:python-sssdconfig, p-cpe:/a:redhat:enterprise_linux:libipa_hbac, p-cpe:/a:redhat:enterprise_linux:sssd-krb5-common
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2015/11/19
漏洞发布日期: 2015/10/29
参考资料信息
CVE: CVE-2015-5292