検出

RHEL 9Red Hat Ansible Automation Platform 2.6 製品セキュリティとバグ修正の更新重要度高RHSA-2025:23070]

critical Nessus プラグイン ID 278140

Language:

概要

リモートの Red Hat ホストにセキュリティ更新プログラムが適用されていません。

説明

リモート Redhat Enterprise Linux 9 ホストに、RHSA-2025:23070 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 Red Hat Ansible Automation Platform は、IT 自動化を大規模に構築、デプロイ、管理するためのエンタープライズフレームワークを提供します。IT マネージャーは、自動化を個々のチームに適用する方法に関するトップダウンのガイドラインを提供する一方、自動化開発者は、オーバーヘッドなしに既存の知識を活用するタスクを自由に記述できます。Ansible Automation Platform を使用すると、組織全体のユーザーは、シンプルで強力なエージェントレスの言語を使用して、自動化コンテンツを共有、精査、管理できます。

 セキュリティ修正プログラム:

 * automation-controllerDjango SQL インジェクションCVE-2025-64459
 * python3.11-djangoDjango SQL インジェクションCVE-2025-64459]

 影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

 更新と修正に含まれる内容:

 Automation Platform
 * IPv6 および IPv4/IPv6 のデュアルスタックサポートは現在デフォルトで有効になっていますAAP-58923
 * /api/eda/ または /api/controller/ のエンドポイントを介した権限の割り当てを引き起こす可能性があるサーバーエラーを修正しましたAAP-58622
 * automation-gateway が 2.6.20251210 に更新されました
 * python3.11-django-ansible-base は 2.6.20251210 に更新されました

 Automation Platform UI
 * 関連するプロジェクトが削除された後にジョブテンプレートが編集可能な問題を修正しましたAAP-58467
 * ジョブ詳細ページのプロジェクトステータス更新リンクが破損するバグを修正AAP-57215
 * [Overview] ページからアクセスした際に [About] ページにブランドロゴがない問題を修正しましたAAP-57133
 * ロールページのリソースタイプフィルターでリソースタイプが正しくフィルタリングされなかった問題を修正しましたAAP-56691
 * プロジェクトの更新が自動的にトリガーされたときに Launched by フィールドが UI で空白に表示される問題を修正しましたAAP-56643
 * プロジェクトにプレイブックが 1 つしかない場合、プレイブックが自動的に選択されるようにプレイブック選択ドロップダウンを更新しましたAAP-56279
 * ソースコントロールのブランチオプションがインベントリソースから欠落していた問題を修正しましたAAP-56149
 * Authenticator ラベルが「Azuread」から「Azure AD」に更新されましたAAP-55677
 * ansible.controller コレクションを使用してデフォルト値なしで調査が作成された場合に、調査の編集フォームが UI に表示されないバグを修正しましたAAP-51548
 * 認証マッピングの詳細用のラベルと説明を向上しましたAAP-51295
 * リモートおよびリモートレジストリの説明を修正AAP-49838
 * ソースコントロールブランチを Project Sync Job Details に追加しましたAAP-49450
 * プライベートオートメーションハブのカードビューでコレクションハイパーリンクが壊れる問題を修正しましたAAP-49006
 * ホストをグループに追加する際に検索機能が結果を絞り込めない問題を修正AAP-47510
 * カスタムログインテキストを読みやすくし、リンクなどの HTML マークアップを許可するように改善しましたAAP-47462
 * ホスト名によるフィルタリングが、[既存のホストの追加] ダイアログで期待通りに機能しなかった問題を修正しましたAAP-45534
 * 通知からのワークフロージョブテンプレート出力への URL を修正しましたAAP-43796
 * 検索フィルターはホストリスト内のどのページからでも機能するようになりましたAAP-42679
 * ProjectまたはInventoryから新しいテンプレートを作成したときにProjectフィールドが自動入力されない問題を修正しましたAAP-41725
 * ユーザーに権限がある場合にテンプレートタブの権限拒否メッセージが誤解を招く問題が修正されましたAAP-40800
 * 詳細ページのリポジトリURLが正しくない問題を修正しましたAAP-40160
 * 質問の最小長さの値が最大長さの値より大きく設定される可能性がある調査検証の問題を修正しましたAAP-39932
 * テキストの長さを評価する際に数字として扱われるテキストの調査検証問題を修正しましたAAP-39931
 * ユーザーが構築されたインベントリ同期のスケジュールを作成できなかった問題を修正しましたAAP-38660
 * スケジュールを編集または作成する際に調査回答が保存されない問題を修正AAP-37923
 * スケジュール上のインスタンスグループを編集できないバグを修正AAP-37872
 * Automation hub のチェックボックス署名付きコレクションのみおよび Sync all dependencies にオプションセクションを導入しましたAAP-36592
 * Automation hub のリポジトリ外での依存関係の同期についての情報メッセージを追加しましたAAP-36592
 * 概要ビューと詳細ビューの間でタスクのタイムスタンプに不一致があった問題を修正しましたAAP-36588
 * Create Credentialフォームでverify_sslチェックボックスがデフォルトでチェックされていない問題を修正しましたAAP-33889
 * 追加の vars フィールドの大きな数字のフォーマットを更新しましたAAP-31805
 * Automation-platform-ui が に更新されました 2.6.4

 オートメーションコントローラー
 * x-ai-description をコントローラースキーマに追加し、各エンドポイントについて AI 対応の説明を提供しましたAAP-59819
 * 長期間のジョブでの Redis の破損したパイプエラーを修正しましたAAP-59728
 * GitHub App Installation Access Token Lookup を修正し、Iv2 Client ID を受け入れますAAP-58880
 * 「ブランチオーバーライドを許可」が有効になっているプロジェクトを同期する際、強制フラグを使用するようにコントローラーを更新しましたAAP-58533
 * レセプターコレクションをバージョン 2.0.8へ更新しました。これは RHEL 10 と互換性がありますAAP-58421
 * MCP MVP をサポートする際の OpenAPI 仕様の多様な側面を更新しましたAAP-53640
 * automation-controller は 4.7.6 に更新されました

 Automation Hub
 * オートコンプリート属性が Automation Hub API パスワードフィールドに追加されましたAAP-59910
 * API アクセスロギングが有効な場合、Automation Hub のアップグレードが進捗しますAAP-59886
 * チーム管理者ロールを持つユーザーの認証失敗を修正しましたAAP-58898
 * automation-hub が 4.11.4 に更新されました
 * python3.11-galaxy-importer は 0.4.36 に更新されました
* python3.11-galaxy-ng は 4.11.4 に更新されました

 イベント駆動型 Ansible
 * x-ai-description を AAP MCP サーバー消費の EDA エンドポイントに追加しましたAAP-58431
 * automation-eda-controller は 1.2.3 に更新されました

 コンテナベースの Ansible Automation Platform
 * レセプタージョブのアンインストール/再インストール後に、同じ名前で古い終了したコンテナがまだ存在するため が起動できなかった問題を修正しましたAAP-59609
 * システムリソースに基づいて、AAP サービスコンテナを実行しているユーザーに対して podman PID 制限、inotify とカーネルキーの sysctls、および ulimit nofile を構成しますAAP-59438
 * コンテナ化されたインストーラーのセットアップが 2.6-4 に更新されました

 追加の変更
 * Ansible 開発ツールが RHEL 10 で現在利用可能です
 * ansible-builder が に更新されました 3.1.1
 * ansible-creator が 25.12.0 に更新されました
 * ansible-dev-environment は 25.12.2 に更新されました
* ansible-dev-tools が 25.12.0 に更新されました
 * ansible-lint が 25.12.0 に更新されました
 * ansible-navigator が 25.12.0 に更新されました
 * ansible-sign が に更新されました 0.1.4
 * bindep が に更新されました 2.13.0
 * 分子は 25.12.0 に更新されました
 * python3.11-ansible-compat は 25.12.0 に更新されました
 * python3.11-distlib は に更新されました 0.4.0
 * python3.11-django は 4.2.26 に更新されました
 * python3.11-execnet が に更新されました 2.1.2
 * python3.11-gunicorn が に更新されました 23.0.0
 * python3.11-pluggy は に更新されました 1.6.0
 * python3.11-pytest が に更新されました 9.0.1
 * python3.11-pytest-ansible は 25.12.0 に更新されました
 * python3.11-pytest-xdist が に更新されました 3.8.0
 * python3.11-ruamel-yaml-clib が に更新されました 0.2.15
 * python3.11-subprocess-tee が に更新されました 0.4.2
 * python3.11-tox-ansible は 25.12.0 に更新されました
 * python3.11-typing-extensions は 4.15.0 に更新されました

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるautomation-controller-venv-towerパッケージやpython3.11-djangoパッケージを更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=2412651

http://www.nessus.org/u?49c58108

https://access.redhat.com/errata/RHSA-2025:23070

プラグインの詳細

深刻度: Critical

ID: 278140

ファイル名: redhat-RHSA-2025-23070.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2025/12/10

更新日: 2025/12/10

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.7

Vendor

Vendor Severity: Important

CVSS v2

リスクファクター: High

基本値: 9.4

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:N

CVSS スコアのソース: CVE-2025-64459

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 8.2

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:python3.11-django, cpe:/o:redhat:enterprise_linux:9

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2025/12/10

脆弱性公開日: 2025/11/5

参照情報

CVE: CVE-2025-64459

CWE: 89

RHSA: 2025:23070