検出

RHEL 8 / 9 : Red Hat Ansible Automation Platform 2.4 製品セキュリティおよびバグ修正プログラムの更新 (重要度中) (RHSA-2025:8609)

medium Nessus プラグイン ID 237806

Language:

概要

リモートの Red Hat ホストにセキュリティ更新プログラムが適用されていません。

説明

リモート Redhat Enterprise Linux 8 / 9 ホストに、RHSA-2025:8609 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 Red Hat Ansible Automation Platform は、IT 自動化を大規模に構築、デプロイ、管理するためのエンタープライズフレームワークを提供します。IT マネージャーは、自動化を個々のチームに適用する方法に関するトップダウンのガイドラインを提供する一方、自動化開発者は、オーバーヘッドなしに既存の知識を活用するタスクを自由に記述できます。Ansible Automation Platform を使用すると、組織全体のユーザーは、シンプルで強力なエージェントレスの言語を使用して、自動化コンテンツを共有、精査、管理できます。

 セキュリティ修正プログラム:

 * python3-django/python39-djangodjango.utils.text.wrap() の潜在的なサービス拒否の脆弱性CVE-2025-26699

 影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

 更新と修正に含まれる内容:

 オートメーションコントローラー
 * ライセンスメカニズムを更新し、API および AAP ユーザーインターフェイス経由でサブスクリプションを取得する際に、ユーザーがユーザー名とパスワードを入力できるようにしましたAAP-46837
 * ノード数が多い場合に発生する Workflow Visualizer のフリーズを修正しますAAP-46620
 * websocket イベントがロールインする際にジョブリストページが API をスパムしないように「useThrottle」を修正しましたAAP-46551
 * Hybrid Cloud Consoleへのアップロードが失敗した後に、分析コレクターが一時ファイルをクリーンアップしない問題を修正しましたAAP-45967
 * ディスパッチャーが更新され、時間、または最後のタスクの完了後には、アイドル状態のワーカーがリサイクルされるようになりました。デフォルトの最大経過時間を 4 時間に延長。構成可能は「WORKER_MAX_LifeTIME_SECONDS」を希望の時間に設定するか、None に設定してワーカーリサイクルを無効にしますAAP-45948
 * 認証情報作成ページのヘルプテキストを更新AAP-45499
 * データベースのデッドロックを防止し、バッチサイズを正規化するために、ソートユーティリティのメソッドを追加しましたAAP-45122
 * AAP サブスクリプション管理に対して、基本認証をサービスアカウント認証に置き換えましたAAP-44642
 * 認証情報フォームのバナーを (特にインサイト認証情報用) 更新し、インサイト認証情報を作成するためにクライアント ID とシークレットを入力するようにユーザーに通知しましたAAP-43235
 * システム設定UIのフィールド名とヘルプテキストを更新し、サービスアカウントのクライアントIDとクライアントシークレット、AnalyticsのクライアントIDとクライアントシークレットを示しましたAAP-43161
 * AnsibleサブスクリプションにはHybrid Cloud Consoleからのサービスアカウントが必要となることを示すサブスクリプション編集UIのバナーとフィールド名を更新しましたAAP-43160
 * automation-controller は 4.5.23 に更新されました

 Automation Hub
 * 明示的に承認されたユーザーへの制限付き EE プルアクセスAAP-46525
 * automation-hub が 4.9.4 に更新されました
 * python3-galaxy-ng/python39-galaxy-ng が に更新されました 4.9.4
 * python3-pulp-ansible/python39-pulp-ansible は に更新されました 0.20.11

 追加の変更
 * python3-django/python39-django は 4.2.21 に更新されました
 * インストーラーとセットアップが 2.4-12 に更新されました

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受ける python3-django パッケージや python39-django パッケージを更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=2348993

http://www.nessus.org/u?0477ce90

https://access.redhat.com/errata/RHSA-2025:8609

プラグインの詳細

深刻度: Medium

ID: 237806

ファイル名: redhat-RHSA-2025-8609.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/6/5

更新日: 2025/6/5

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 1.6

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2025-26699

CVSS v3

リスクファクター: Medium

基本値: 5

現状値: 4.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:python3-django, p-cpe:/a:redhat:enterprise_linux:python3x-django, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:python-django, p-cpe:/a:redhat:enterprise_linux:python39-django, cpe:/o:redhat:enterprise_linux:8

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2025/6/5

脆弱性公開日: 2025/3/6

参照情報

CVE: CVE-2025-26699

CWE: 400

RHSA: 2025:8609