检测

Oracle Linux 7:sssd (ELSA-2015-2355)

high Nessus 插件 ID 87095

语言:

简介

远程 Oracle Linux 主机缺少一个或多个安全更新。

描述

来自 Red Hat 安全公告 2015:2355:

更新后的 sssd 程序包修复了一个安全问题和多个缺陷并添加了多种增强,现在可用于 Red Hat Enterprise Linux 7。

Red Hat 产品安全团队将此更新评级为具有低安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

系统安全服务后台程序 (SSSD) 服务提供一系列后台程序,用于管理对远程目录的访问和认证机制。

发现 SSSD 的权限属性证书 (PAC) 响应器插件每次认证请求时,都会泄漏一小部分内存。远程攻击者可能利用此缺陷,向配置为使用 PAC 响应器插件进行认证的 Kerberized 后台应用程序反复发送请求,从而耗尽系统全部可用内存。(CVE-2015-5292)

sssd 程序包已升级到上游版本 1.13.0,其提供了对之前版本的多项缺陷补丁和增强。(BZ#1205554)

有关下列增强的详细信息,请参阅“参考”部分中链接的 Red Hat Enterprise Linux 7.2 发行说明:

* SSSD 智能卡支持 (BZ#854396) * SSSD 中的缓存验证 (BZ#910187) * SSSD 支持覆盖自动发现的 AD 站点 (BZ#1163806) * SSSD 现在可以拒绝针对锁定帐户的 SSH 访问 (BZ#1175760) * SSSD 启用单个客户端的 UID 和 GID 映射 (BZ#1183747) * 缓存条目的背景刷新 (BZ#1199533) * 针对一次性和长期密码的多步骤提示 (BZ#1200873) * 针对 initgroups 操作的缓存 (BZ#1206575)

修复的缺陷:

* 如果 IdM 服务器上的 SELinux 用户内容设置为空字符串,则 SSSD SELinux 评估实用工具会返回错误。
(BZ#1192314)

* 如果 ldap_child 进程未能初始化凭据并多次报错退出,那么在某些情况下,创建文件的操作会因 i 节点不足而逐渐开始失败。
(BZ#1198477)

* SRV 查询使用硬编码 TTL 超时,而需要 SRV 查询在某一时间内保持有效的环境遭到阻断。现在 SSSD 会将 TTL 值解析至 DNS 数据包之外。
(BZ#1199541)

* 以前,initgroups 操作非常耗时。
现在对于具有 AD 后端的设置,登录和 ID 处理速度更快,并且已禁用 ID 映射。(BZ#1201840)

* 当具有 Red Hat Enterprise Linux 7.1 或更高版本的 IdM 客户端与具有 Red Hat Enterprise Linux 7.0 或更低版本的服务器进行连接时,使用 AD 受信域进行验证导致 sssd_be 进程意外终止。(BZ#1202170)

* 如果 HBAC 处理过程中出现复制冲突条目,会拒绝用户访问。现在会跳过复制冲突条目并允许用户访问。(BZ#1202245)

* SID 的数组不再包含未初始化值,且 SSSD 不会崩溃。(BZ#1204203)

* SSSD 支持不同域控制器的 GPO,而且处理不同域控制器的 GPO 时不会崩溃。
(BZ#1205852)

* 如果 sudo 规则所包含的群组的名称中含有特殊字符(比如括号),则 SSSD 无法刷新这些规则。(BZ#1208507)

* 如果服务器已限定 IPA 名称,则客户端不会限定这些名称,而且即使服务器使用 default_domain_suffix,仍会解析 IdM 组成员。(BZ#1211830)

* 已默认禁用内部缓存清除任务以提升 sssd_be 进程的性能。(BZ#1212489)

* 现在 autofs 映射不会考虑 default_domain_suffix。(BZ#1216285)

* 用户可以设置 subdomain_inherit=ignore_group-members 以禁用提取受信域的群组成员。(BZ#1217350)

* 群组解析会失败并提示错误消息:“Error: 14 (Bad address)”。已修复二进制 GUID 处理。(BZ#1226119)

已添加增强:

* 优化了手册页中对 default_domain_suffix 的描述。(BZ#1185536)

* 通过新的“%0”模板选项,SSSD IdM 客户端的用户现在可以使用 AD 上设置的主目录。(BZ#1187103)

建议所有 sssd 用户升级这些更新后的程序包,其中修正了这些问题并添加这些增强。

解决方案

更新受影响的 sssd 程序包。

另见

https://linux.oracle.com/errata/ELSA-2015-2355.html

插件详情

严重性: High

ID: 87095

文件名: oraclelinux_ELSA-2015-2355.nasl

版本: 2.10

类型: local

代理: unix

发布时间: 2015/11/30

最近更新时间: 2024/10/22

支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 6.8

时间分数: 5

矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

CVSS 分数来源: CVE-2015-5292

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:oracle:linux:libsss_nss_idmap, p-cpe:/a:oracle:linux:libsss_nss_idmap-devel, p-cpe:/a:oracle:linux:sssd-dbus, p-cpe:/a:oracle:linux:sssd-client, p-cpe:/a:oracle:linux:sssd-common, p-cpe:/a:oracle:linux:libipa_hbac, p-cpe:/a:oracle:linux:sssd-tools, p-cpe:/a:oracle:linux:python-sss, p-cpe:/a:oracle:linux:libsss_idmap, p-cpe:/a:oracle:linux:sssd-krb5, p-cpe:/a:oracle:linux:sssd-libwbclient, p-cpe:/a:oracle:linux:libsss_idmap-devel, p-cpe:/a:oracle:linux:sssd-common-pac, p-cpe:/a:oracle:linux:sssd-krb5-common, p-cpe:/a:oracle:linux:python-sss-murmur, p-cpe:/a:oracle:linux:sssd, p-cpe:/a:oracle:linux:sssd-proxy, p-cpe:/a:oracle:linux:sssd-ldap, p-cpe:/a:oracle:linux:sssd-libwbclient-devel, p-cpe:/a:oracle:linux:python-libipa_hbac, p-cpe:/a:oracle:linux:sssd-ipa, p-cpe:/a:oracle:linux:libsss_simpleifp, p-cpe:/a:oracle:linux:libsss_simpleifp-devel, p-cpe:/a:oracle:linux:sssd-ad, cpe:/o:oracle:linux:7, p-cpe:/a:oracle:linux:libipa_hbac-devel, p-cpe:/a:oracle:linux:python-sssdconfig, p-cpe:/a:oracle:linux:python-libsss_nss_idmap

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux

易利用性: No known exploits are available

补丁发布日期: 2015/11/25

漏洞发布日期: 2015/10/29

参考资料信息

CVE: CVE-2015-5292

RHSA: 2015:2355