検出

RHEL 10 / 9Red Hat Ansible Automation Platform 2.6 製品セキュリティおよびバグ修正の更新重要度高RHSA-2026:3958]

high Nessus プラグイン ID 301326

Language:

概要

リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Redhat Enterprise Linux 10/9 ホストには、 RHSA-2026:3958 アドバイザリに記載された複数の脆弱性の影響を受けるパッケージがインストールされています。

 Red Hat Ansible Automation Platform は、IT 自動化を大規模に構築、デプロイ、管理するためのエンタープライズフレームワークを提供します。IT マネージャーは、自動化を個々のチームに適用する方法に関するトップダウンのガイドラインを提供する一方、自動化開発者は、オーバーヘッドなしに既存の知識を活用するタスクを自由に記述できます。Ansible Automation Platform を使用すると、組織全体のユーザーは、シンプルで強力なエージェントレスの言語を使用して、自動化コンテンツを共有、精査、管理できます。

 セキュリティ修正プログラム:

 * Automation-controllerwheel悪意のあるwheelファイルの解凍による権限昇格または任意のコードの実行CVE-2026-24049
 * automation-controllerpyasn1 には、デコーダーにおける DoS 脆弱性がありますCVE-2026-23490
 * Automation-platform-ui_.unset 関数と _.omic 関数のプロトタイプ汚染CVE-2025-13465]
 * Automation-platform-uiReact Router には XSS の脆弱性がありますCVE-2025-59057
 * automation-platform-uiScrollRestoration の Router SSR XSS に反応しますCVE-2026-21884
 * Automation-platform-uiオープンリダイレクトを通じて XSS に対して脆弱な React RouterCVE-2026-22029]
 * python3.11-aiohttpAIOHTTP の HTTP Parser auto_decompress 機能は zip 爆弾に脆弱ですCVE-2025-69223
 * python3.11-djangoDjangoQuerySet.order_by() の細工された列エイリアスを介した SQL インジェクションCVE-2026-1312]
 * python3.11-djangoDjango細工された列エイリアスによる SQL インジェクションCVE-2026-1287
 * python3.11-djangoDjango細工された HTML 入力を通じたサービス拒否CVE-2026-1285
 * python3.11-djangoDjangoRasterField バンドインデックスパラメーターを通じた SQL インジェクションCVE-2026-1207
 * python3.11-djangoDjango重複するヘッダーを持つ細工されたリクエストを介したサービス拒否CVE-2025-14550
 * python3.11-protobufPython Protobuf でのサービス拒否CVE-2026-0994]
 * レセプターnet/url のクエリパラメーター解析でのメモリ枯渇CVE-2025-61726]

 影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。

 更新と修正に含まれる内容:

 * Python が に更新されました 3.12 AAP-56567

 重要: すべてのユーザーは、最新バージョンのインストーラーをダウンロードする必要があります。以前のバージョンのインストーラーを使用してインストールまたはアップグレードしようとすると、失敗する可能性があります。

 Automation Platform
 * Organization Administrator が、組織内のオブジェクトにアクセス許可を委任できないバグを修正しますAAP-65081
 * 機能フラグテーブルが部分的な移行でさえ、想定通りに作成/更新されない復元の問題を修正しましたAAP-65815
 * automation-gateway が 2.6.20260225 に更新されました

 Automation Platform UI
 * プロジェクトのソースコントロールブランチがテンプレートまたはテンプレートスケジュールでオーバーライドされた場合、スケジュールの詳細およびスケジュール編集フォームのレビューステップに表示されるようになりましたAAP-60920
 * 50 を超える認証マッピングの並べ替えを妨げる問題を修正AAP-59119
 * Automation-platform-ui が に更新されました 2.6.6

 オートメーションコントローラー
 * 特定のリソースで管理者ロールを持っているが、そのタイプの新しいリソースを作成する権限を持たないユーザーに対して、awx CLI 変更コマンドが使用可能なフィールドフラグを表示しない問題を修正しましたAAP-65813
 * ジョブリストのエンドポイントを修正し、ジョブアーティファクトを読み込まないようになり、パフォーマンスが向上しましたAAP-63489
 * 欠落している RoleUserAssignment openapi スキーマコンポーネントを修正しましたAAP-60826
 * automation-controller は 4.7.9 に更新されました

 Automation Hub
 * RBAC 権限を適切に実施するために _ui/v2 endoint を更新しましたAAP-66634
 * 静的 OpenAPI 仕様を galaxy に追加し、ユーザーが呼び出すことができる潜在的なエンドポイントにフォーカスしましたAAP-66415
 * Hub OpenAPI 仕様のドキュメント化AAP-66412 および AAP-66410
 * automation-hub が 4.11.6 に更新されました

 イベント駆動型 Ansible
 * eda プラグインのライフサイクル処理を追加しましたdeprecation、redirection、tombstoningAAP-62721
 * register_curl を呼び出すために RQ のデフォルトのハートビートをオーバーライドします。これにより、ワーカーが Redis から切断された場合にワーカーの再登録が可能になり、Ghost Workers も排除されました。また、rq バージョンは、より最近の安定したリリースである 2.6.1に更新されましたAAP-56872
 * ansible-rulebook が 1.2.1 に更新されました
 * automation-eda-controller は 1.2.6 に更新されました

 コンテナベースの Ansible Automation Platform
 * ansible_host を定義する必要がない自動化ゲートウェイのプリフライトチェックを修正しましたAAP-65370
 * レセプター構成の「/home/{{ ansible_user_id }}」パス参照が ansible_user_dir ansible 事実に置き換えられますAAP-64452
 * envoy リクエストのタイムアウトが 1 秒から 5 秒に増加AAP-64323
 * Automation コントローラーステータス取得の際に再試行メカニズムを追加しましたAAP-64291
 * envoy で TLS を無効にしても、Merge 組織タスクを実行する際にコントローラー接続エラーを発生させなくなりましたAAP-62904
 * ansible core で jinja2 ネイティブが有効化された場合の互換性を修正しましたAAP-62878
 * Automation ハブレジストリにコンテナイメージをプッシュする際に TLS 検証を削除し、TLS が無効化されているAAP-62864
 * インベントリサンプルの URL アンカーが更新され、公式ドキュメントを反映するようになりましたAAP-55780
 * コンテナ化されたインストーラーのセットアップが 2.6-6 に更新されました

 RPM ベースの Ansible Automation Platform
 * envoy リクエストのタイムアウトが 1 秒から 5 秒に増加AAP-64008
 * ansible-automation-platform-installer およびインストーラーのセットアップが 2.6-5 に更新されました

 追加の変更
 * ansible-core は 2.16.16 に更新されました
 * すべての python3.11- プレフィックス付き rpm が python3.12- プレフィックス付き rpm で置き換えられます

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#important

http://www.nessus.org/u?e0275401

http://www.nessus.org/u?89e9dbff

https://bugzilla.redhat.com/show_bug.cgi?id=2427456

https://bugzilla.redhat.com/show_bug.cgi?id=2428412

https://bugzilla.redhat.com/show_bug.cgi?id=2428421

https://bugzilla.redhat.com/show_bug.cgi?id=2428426

https://bugzilla.redhat.com/show_bug.cgi?id=2430472

https://bugzilla.redhat.com/show_bug.cgi?id=2431740

https://bugzilla.redhat.com/show_bug.cgi?id=2431959

https://bugzilla.redhat.com/show_bug.cgi?id=2432398

https://bugzilla.redhat.com/show_bug.cgi?id=2434432

https://bugzilla.redhat.com/show_bug.cgi?id=2436338

https://bugzilla.redhat.com/show_bug.cgi?id=2436339

https://bugzilla.redhat.com/show_bug.cgi?id=2436340

https://bugzilla.redhat.com/show_bug.cgi?id=2436341

https://bugzilla.redhat.com/show_bug.cgi?id=2436342

https://issues.redhat.com/browse/AAP-62864

http://www.nessus.org/u?dd6f2935

https://access.redhat.com/errata/RHSA-2026:3958

プラグインの詳細

深刻度: High

ID: 301326

ファイル名: redhat-RHSA-2026-3958.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2026/3/6

更新日: 2026/3/6

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.1

Vendor

Vendor Severity: Important

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N

CVSS スコアのソース: CVE-2026-22029

CVSS v3

リスクファクター: Medium

基本値: 6.1

現状値: 5.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS v4

リスクファクター: High

Base Score: 8.2

Threat Score: 6.9

Threat Vector: CVSS:4.0/E:P

Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L

CVSS スコアのソース: CVE-2026-0994

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-cli, p-cpe:/a:redhat:enterprise_linux:automation-controller-ui, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:python3.12-protobuf, p-cpe:/a:redhat:enterprise_linux:automation-controller, p-cpe:/a:redhat:enterprise_linux:automation-controller-server, p-cpe:/a:redhat:enterprise_linux:receptor, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:receptorctl, p-cpe:/a:redhat:enterprise_linux:python3.12-aiohttp, p-cpe:/a:redhat:enterprise_linux:python3.12-django, cpe:/o:redhat:enterprise_linux:10, p-cpe:/a:redhat:enterprise_linux:automation-platform-ui

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトが利用可能: true

エクスプロイトの容易さ: Exploits are available

パッチ公開日: 2026/3/6

脆弱性公開日: 2026/1/5

参照情報

CVE: CVE-2025-13465, CVE-2025-14550, CVE-2025-59057, CVE-2025-61726, CVE-2025-69223, CVE-2026-0994, CVE-2026-1207, CVE-2026-1285, CVE-2026-1287, CVE-2026-1312, CVE-2026-21884, CVE-2026-22029, CVE-2026-23490, CVE-2026-24049

CWE: 1321, 167, 22, 674, 770, 79, 89

RHSA: 2026:3958