Oracle Linux 7:sssd (ELSA-2015-2355)
medium Nessus 插件 ID 87095
语言:
简介
远程 Oracle Linux 主机缺少一个或多个安全更新。描述
来自 Red Hat 安全公告 2015:2355:更新后的 sssd 程序包修复了一个安全问题和多个缺陷并添加了多种增强,现在可用于 Red Hat Enterprise Linux 7。
Red Hat 产品安全团队将此更新评级为具有低安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
系统安全服务后台程序 (SSSD) 服务提供一系列后台程序,用于管理对远程目录的访问和认证机制。
发现 SSSD 的权限属性证书 (PAC) 响应器插件每次认证请求时,都会泄漏一小部分内存。远程攻击者可能利用此缺陷,向配置为使用 PAC 响应器插件进行认证的 Kerberized 后台应用程序反复发送请求,从而耗尽系统全部可用内存。(CVE-2015-5292)
sssd 程序包已升级到上游版本 1.13.0,其提供了对之前版本的多项缺陷补丁和增强。(BZ#1205554)
有关下列增强的详细信息,请参阅“参考”部分中链接的 Red Hat Enterprise Linux 7.2 发行说明:
* SSSD 智能卡支持 (BZ#854396) * SSSD 中的缓存验证 (BZ#910187) * SSSD 支持覆盖自动发现的 AD 站点 (BZ#1163806) * SSSD 现在可以拒绝针对锁定帐户的 SSH 访问 (BZ#1175760) * SSSD 启用单个客户端的 UID 和 GID 映射 (BZ#1183747) * 缓存条目的背景刷新 (BZ#1199533) * 针对一次性和长期密码的多步骤提示 (BZ#1200873) * 针对 initgroups 操作的缓存 (BZ#1206575)
修复的缺陷:
* 如果 IdM 服务器上的 SELinux 用户内容设置为空字符串,则 SSSD SELinux 评估实用工具会返回错误。
(BZ#1192314)
* 如果 ldap_child 进程未能初始化凭据并多次报错退出,那么在某些情况下,创建文件的操作会因 i 节点不足而逐渐开始失败。
(BZ#1198477)
* SRV 查询使用硬编码 TTL 超时,而需要 SRV 查询在某一时间内保持有效的环境遭到阻断。现在 SSSD 会将 TTL 值解析至 DNS 数据包之外。
(BZ#1199541)
* 以前,initgroups 操作非常耗时。
现在对于具有 AD 后端的设置,登录和 ID 处理速度更快,并且已禁用 ID 映射。(BZ#1201840)
* 当具有 Red Hat Enterprise Linux 7.1 或更高版本的 IdM 客户端与具有 Red Hat Enterprise Linux 7.0 或更低版本的服务器进行连接时,使用 AD 受信域进行验证导致 sssd_be 进程意外终止。(BZ#1202170)
* 如果 HBAC 处理过程中出现复制冲突条目,会拒绝用户访问。现在会跳过复制冲突条目并允许用户访问。(BZ#1202245)
* SID 的数组不再包含未初始化值,且 SSSD 不会崩溃。(BZ#1204203)
* SSSD 支持不同域控制器的 GPO,而且处理不同域控制器的 GPO 时不会崩溃。
(BZ#1205852)
* 如果 sudo 规则所包含的群组的名称中含有特殊字符(比如括号),则 SSSD 无法刷新这些规则。(BZ#1208507)
* 如果服务器已限定 IPA 名称,则客户端不会限定这些名称,而且即使服务器使用 default_domain_suffix,仍会解析 IdM 组成员。(BZ#1211830)
* 已默认禁用内部缓存清除任务以提升 sssd_be 进程的性能。(BZ#1212489)
* 现在 autofs 映射不会考虑 default_domain_suffix。(BZ#1216285)
* 用户可以设置 subdomain_inherit=ignore_group-members 以禁用提取受信域的群组成员。(BZ#1217350)
* 群组解析会失败并提示错误消息:“Error: 14 (Bad address)”。已修复二进制 GUID 处理。(BZ#1226119)
已添加增强:
* 优化了手册页中对 default_domain_suffix 的描述。(BZ#1185536)
* 通过新的“%0”模板选项,SSSD IdM 客户端的用户现在可以使用 AD 上设置的主目录。(BZ#1187103)
建议所有 sssd 用户升级这些更新后的程序包,其中修正了这些问题并添加这些增强。
解决方案
更新受影响的 sssd 程序包。另见
https://oss.oracle.com/pipermail/el-errata/2015-November/005579.html
插件详情
严重性: Medium
ID: 87095
文件名: oraclelinux_ELSA-2015-2355.nasl
版本: 2.9
类型: local
代理: unix
发布时间: 2015/11/30
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C
漏洞信息
CPE: p-cpe:/a:oracle:linux:libipa_hbac, p-cpe:/a:oracle:linux:libipa_hbac-devel, p-cpe:/a:oracle:linux:libsss_idmap, p-cpe:/a:oracle:linux:libsss_idmap-devel, p-cpe:/a:oracle:linux:libsss_nss_idmap, p-cpe:/a:oracle:linux:libsss_nss_idmap-devel, p-cpe:/a:oracle:linux:libsss_simpleifp, p-cpe:/a:oracle:linux:libsss_simpleifp-devel, p-cpe:/a:oracle:linux:python-libipa_hbac, p-cpe:/a:oracle:linux:python-libsss_nss_idmap, p-cpe:/a:oracle:linux:python-sss, p-cpe:/a:oracle:linux:python-sss-murmur, p-cpe:/a:oracle:linux:python-sssdconfig, p-cpe:/a:oracle:linux:sssd, p-cpe:/a:oracle:linux:sssd-ad, p-cpe:/a:oracle:linux:sssd-client, p-cpe:/a:oracle:linux:sssd-common, p-cpe:/a:oracle:linux:sssd-common-pac, p-cpe:/a:oracle:linux:sssd-dbus, p-cpe:/a:oracle:linux:sssd-ipa, p-cpe:/a:oracle:linux:sssd-krb5, p-cpe:/a:oracle:linux:sssd-krb5-common, p-cpe:/a:oracle:linux:sssd-ldap, p-cpe:/a:oracle:linux:sssd-libwbclient, p-cpe:/a:oracle:linux:sssd-libwbclient-devel, p-cpe:/a:oracle:linux:sssd-proxy, p-cpe:/a:oracle:linux:sssd-tools, cpe:/o:oracle:linux:7
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/OracleLinux
易利用性: No known exploits are available
补丁发布日期: 2015/11/25
漏洞发布日期: 2015/10/29
参考资料信息
CVE: CVE-2015-5292
RHSA: 2015:2355