CentOS 6:ipa (CESA-2015:1462)
medium Nessus 插件 ID 85027
语言:
简介
远程 CentOS 主机缺少一个或多个安全更新。描述
更新后的 ipa 程序包修复了两个安全问题和多个缺陷,现在可用于 Red Hat Enterprise Linux 6。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Red Hat 身份管理 (IdM) 是一种集中式的认证、身份管理和授权解决方案,同时适用传统企业环境和基于云的企业环境。
在 jQuery 中发现两个跨站脚本 (XSS) 缺陷,可能影响身份管理 Web 管理界面,并可允许经认证的用户向界面中注入任意 HTML 或 Web 脚本。(CVE-2010-5312、CVE-2012-6662)
注意:此更新提供的 IdM 版本不再使用 jQuery。
缺陷补丁:
* 在 FIPS-140 模式下运行的计算机不支持 ipa-server-install、ipa-replica-install 和 ipa-client-install 实用程序。
之前,IdM 不会警告用户此问题。现在,IdM 不允许在 FIPS-140 模式下运行这些实用程序,并且会显示解释消息。(BZ#1131571)
* 如果在运行 ipa-client-install 实用工具时指定或发现 Active Directory (AD) 服务器,实用工具会产生追溯,而不会通知用户这种情况下需要 IdM 服务器。现在,ipa-client-install 会检测 AD 服务器并失败,同时显示解释消息。(BZ#1132261)
* 如果在 httpd 服务器中,IdM 服务器配置为需要 1.1 (TLSv1.1) 或更高版本的 TLS 协议,ipa 实用工具会失败。
通过此更新,使用 TLSv1.1 或更高版本可以按预期运行 ipa。
(BZ#1154687)
* 在特定的高度负载环境下,IdM 客户端安装程序的 Kerberos 认证步骤可能会失败。之前在这种情况下,整个客户端安装将失败。此次更新修改了 ipa-client-install,使其优先使用 TCP 协议,而不是 UDP 协议,并且失败时会重新尝试认证。
(BZ#1161722)
* 如果 ipa-client-install 更新或创建 /etc/nsswitch.conf 文件,sudo 实用工具可能会出现分段错误并意外终止。现在此缺陷已修复,如果 ipa-client-install 修改了 nsswitch.conf 文件的最后一行,会在文件的末尾添加新的行字符。(BZ#1185207)
* 如果 nsslapd-minssf Red Hat Directory Server 配置参数设置为“1”,ipa-client-automount 实用工具会出现“UNWILLING_TO_PERFORM”LDAP 错误并失败。此更新修改了 ipa-client-automount,使其默认情况下针对 LDAP 搜索使用加密连接,现在该实用程序在已指定 nsslapd-minssf 的情况下也可以成功完成。(BZ#1191040)
* 如果在证书颁发机构 (CA) 安装后安装 IdM 服务器失败,“ipa-server-install --uninstall”命令不会执行正确的清除。如果用户发出“ipa-server-install --uninstall”后再次尝试安装服务器,安装会失败。现在“ipa-server-install --uninstall”在上述情况下会删除 CA 相关的文件,且 ipa-server-install 不会出现上述错误消息并失败。(BZ#1198160)
* 在已配置“sss”且 nsswitch.conf 文件中已有该条目的情况下,运行 ipa-client-install 仍会向该文件的 sudoers 行添加“sss”条目。之后,重复的“sss”会导致 sudo 失去响应。现在,如果 nsswitch.conf 中已有“sss”,则 ipa-client-install 不会重复添加。(BZ#1198339)
* 运行 ipa-client-install 后,在特定情况下无法使用 SSH 登录。现在,ipa-client-install 不会破坏 sshd_config 文件,且 sshd 服务可以按预期启动,同时可以在上述情况下使用 SSH 登录。(BZ#1201454)
* /usr/share/ipa/05rfc2247.ldif 文件中 dc 属性的一个错误定义导致在迁移过程中返回虚假错误消息。该属性已修复,但如果在 Red Hat Enterprise Linux 6.7 上运行 copy-schema-to-ca.py 脚本之前先在 Red Hat Enterprise Linux 6.6 上运行该脚本,则该缺陷仍然存在。为了解决此问题,请手动将 /usr/share/ipa/schema/05rfc2247.ldif 复制到 /etc/dirsrv/slapd-PKI-IPA/schema/ 并重新启动 IdM。(BZ#1220788)
建议所有 ipa 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。
解决方案
更新受影响的 ipa 程序包。另见
插件详情
严重性: Medium
ID: 85027
文件名: centos_RHSA-2015-1462.nasl
版本: 2.7
类型: local
代理: unix
发布时间: 2015/7/28
最近更新时间: 2021/1/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
CVSS v2
风险因素: Medium
基本分数: 4.3
时间分数: 3.2
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2010-5312
漏洞信息
CPE: p-cpe:/a:centos:centos:ipa-admintools, p-cpe:/a:centos:centos:ipa-client, p-cpe:/a:centos:centos:ipa-python, p-cpe:/a:centos:centos:ipa-server, p-cpe:/a:centos:centos:ipa-server-selinux, p-cpe:/a:centos:centos:ipa-server-trust-ad, cpe:/o:centos:centos:6
必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2015/7/26
漏洞发布日期: 2014/11/24
参考资料信息
CVE: CVE-2010-5312, CVE-2012-6662
RHSA: 2015:1462