检测

Scientific Linux 安全更新:SL7.x x86_64 中的 sssd

medium Nessus 插件 ID 87575

语言:

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

发现 SSSD 的权限属性证书 (PAC) 响应器插件每次认证请求时,都会泄漏一小部分内存。远程攻击者可能利用此缺陷,向配置为使用 PAC 响应器插件进行认证的 Kerberized 后台应用程序反复发送请求,从而耗尽系统全部可用内存。(CVE-2015-5292)

sssd 程序包已升级到上游版本 1.13.0,其提供了对之前版本的多项缺陷补丁和增强。

- SSSD 智能卡支持 * SSSD 中的缓存认证 * SSSD 支持覆盖自动发现的 AD 站点 * SSSD 现在可拒绝对锁定帐户的 SSH 访问 * SSSD 启用单个客户端上的 UID 和 GID 映射 * 已缓存条目的背景刷新 * 针对一次性和长期密码的多步骤提示 * 针对 initgroups 操作的缓存

修复的缺陷:

- 如果 IdM 服务器上的 SELinux 用户内容设置为空字符串,则 SSSD SELinux 评估实用工具会返回错误。

- 如果 ldap_child 进程未能初始化凭据并多次报错退出,在某些情况下,创建文件的操作会因 i 节点不足而逐渐开始失败。

- SRV 查询使用硬编码 TTL 超时,而需要 SRV 查询在某一时间内保持有效的环境遭到阻断。现在 SSSD 会将 TTL 值解析至 DNS 数据包之外。

- 以前,initgroups 操作非常耗时。现在对于具有 AD 后端的设置,登录和 ID 处理速度更快,并且已禁用 ID 映射。

- 当具有 Scientific Linux 7.1 或更高版本的 IdM 客户端与具有 Scientific Linux 7.0 或更低版本的服务器进行连接时,使用 AD 受信域进行验证导致 sssd_be 进程意外终止。

- 如果 HBAC 处理过程中出现复制冲突条目,会拒绝用户访问。现在会跳过复制冲突条目并允许用户访问。

- SID 的数组不再包含未初始化值,且 SSSD 不会崩溃。

- SSSD 支持不同域控制器的 GPO,而且处理不同域控制器的 GPO 时不会崩溃。

- 如果 sudo 规则所包含的群组的名称中含有特殊字符(比如括号),则 SSSD 无法刷新这些规则。

- 如果服务器已限定 IPA 名称,则客户端不会限定这些名称,而且即使服务器使用 default_domain_suffix,仍会解析 IdM 组成员。

- 已默认禁用内部缓存清除任务以提升 sssd_be 进程的性能。

- 现在 autofs 映射不会考虑 default_domain_suffix。

- 用户可以设置 subdomain_inherit=ignore_group-members 以禁用提取受信域的群组成员。

- 群组解析会失败并提示错误消息:“Error: 14 (Bad address)”。已修复二进制 GUID 处理。

已添加增强:

- 优化了手册页中对 default_domain_suffix 的描述。

- 通过新的“%0”模板选项,SSSD IdM 客户端的用户现在可以使用 AD 上设置的主目录。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?b620618f

插件详情

严重性: Medium

ID: 87575

文件名: sl_20151119_sssd_on_SL7_x.nasl

版本: 2.5

类型: local

代理: unix

发布时间: 2015/12/22

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:libipa_hbac, p-cpe:/a:fermilab:scientific_linux:libipa_hbac-devel, p-cpe:/a:fermilab:scientific_linux:libsss_idmap, p-cpe:/a:fermilab:scientific_linux:libsss_idmap-devel, p-cpe:/a:fermilab:scientific_linux:libsss_nss_idmap, p-cpe:/a:fermilab:scientific_linux:libsss_nss_idmap-devel, p-cpe:/a:fermilab:scientific_linux:libsss_simpleifp, p-cpe:/a:fermilab:scientific_linux:libsss_simpleifp-devel, p-cpe:/a:fermilab:scientific_linux:python-libipa_hbac, p-cpe:/a:fermilab:scientific_linux:python-libsss_nss_idmap, p-cpe:/a:fermilab:scientific_linux:python-sss, p-cpe:/a:fermilab:scientific_linux:python-sss-murmur, p-cpe:/a:fermilab:scientific_linux:python-sssdconfig, p-cpe:/a:fermilab:scientific_linux:sssd, p-cpe:/a:fermilab:scientific_linux:sssd-ad, p-cpe:/a:fermilab:scientific_linux:sssd-client, p-cpe:/a:fermilab:scientific_linux:sssd-common, p-cpe:/a:fermilab:scientific_linux:sssd-common-pac, p-cpe:/a:fermilab:scientific_linux:sssd-dbus, p-cpe:/a:fermilab:scientific_linux:sssd-debuginfo, p-cpe:/a:fermilab:scientific_linux:sssd-ipa, p-cpe:/a:fermilab:scientific_linux:sssd-krb5, p-cpe:/a:fermilab:scientific_linux:sssd-krb5-common, p-cpe:/a:fermilab:scientific_linux:sssd-ldap, p-cpe:/a:fermilab:scientific_linux:sssd-libwbclient, p-cpe:/a:fermilab:scientific_linux:sssd-libwbclient-devel, p-cpe:/a:fermilab:scientific_linux:sssd-proxy, p-cpe:/a:fermilab:scientific_linux:sssd-tools, x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2015/11/19

漏洞发布日期: 2015/10/29

参考资料信息

CVE: CVE-2015-5292