RHEL 8/9: Red Hat Ansible Automation Platform 2.5 製品セキュリティおよびバグ修正プログラムの更新 (重要度高) (RHSA-2026:3959)
high Nessus プラグイン ID 301388
Language:
概要
リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 8 / 9 ホストに、RHSA-2026:3959 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。Red Hat Ansible Automation Platform は、IT 自動化を大規模に構築、デプロイ、管理するためのエンタープライズフレームワークを提供します。IT マネージャーは、自動化を個々のチームに適用する方法に関するトップダウンのガイドラインを提供する一方、自動化開発者は、オーバーヘッドなしに既存の知識を活用するタスクを自由に記述できます。Ansible Automation Platform を使用すると、組織全体のユーザーは、シンプルで強力なエージェントレスの言語を使用して、自動化コンテンツを共有、精査、管理できます。
セキュリティ修正プログラム:
* Automation-controllerwheel悪意のあるwheelファイルの解凍による権限昇格または任意のコードの実行CVE-2026-24049
* automation-controllerpyasn1 には、デコーダーにおける DoS 脆弱性がありますCVE-2026-23490
* automation-gatewayオープンリダイレクト経由の XSS に対して Router の脆弱性を修正しますCVE-2026-22029
* python3.11-aiohttpAIOHTTP の HTTP Parser auto_decompress 機能は zip 爆弾に脆弱ですCVE-2025-69223
* python3.11-djangoDjangoQuerySet.order_by() の細工された列エイリアスを介した SQL インジェクションCVE-2026-1312]
* python3.11-djangoDjango細工された列エイリアスによる SQL インジェクションCVE-2026-1287
* python3.11-djangoDjango細工された HTML 入力を通じたサービス拒否CVE-2026-1285
* python3.11-djangoDjangoRasterField バンドインデックスパラメーターを通じた SQL インジェクションCVE-2026-1207
* python3.11-djangoDjango重複するヘッダーを持つ細工されたリクエストを介したサービス拒否CVE-2025-14550
* python3.11-protobufPython Protobuf でのサービス拒否CVE-2026-0994]
* レセプターnet/url のクエリパラメーター解析でのメモリ枯渇CVE-2025-61726]
影響、CVSS スコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されている CVE のページを参照してください。
更新と修正に含まれる内容:
* Python が に更新されました 3.12 AAP-56567
重要: すべてのユーザーは、最新バージョンのインストーラーをダウンロードする必要があります。以前のバージョンのインストーラーを使用してインストールまたはアップグレードしようとすると、失敗する可能性があります。
Automation Platform
* OpenAPI ゲートウェイ仕様は legacy_auth エンドポイントに対して現在正確ですAAP-63422
* ユーザーがコロンが含まれる完全な調査の質問選択を表示できないバグを修正しましたAAP-66389
* インベントリソースフォームに対してソースコントロールブランチオプションを追加しましたAAP-63544
* automation-gateway が 2.5.20260225 に更新されました
オートメーションコントローラー
* トークン認証を に追加しました 2.5 AAP-65488
* ジョブリストのエンドポイントを修正し、ジョブアーティファクトを読み込まないようになり、パフォーマンスが向上しましたAAP-63221
* チームの組織をまたがる認証情報の共有を有効化しました。レガシー RBAC 機能に変更が加えられましたAAP-54804
* automation-controller は 4.6.26 に更新されました
Automation Hub
* RBAC 権限を適切に実施するために _ui/v2 endoint を更新しましたAAP-66638
* 静的 OpenAPI 仕様を galaxy に追加し、ユーザーが呼び出すことができる潜在的なエンドポイントにフォーカスしましたAAP-66417
* automation-hub が 4.10.12 に更新されました
イベント駆動型 Ansible
* register_curl を呼び出すために RQ のデフォルトのハートビートをオーバーライドします。これにより、ワーカーが Redis から切断された場合にワーカーの再登録が可能になり、Ghost Workers も排除されました。また、rq のバージョンを、より最近の安定したリリースである 2.6.1に更新しますAAP-56872
* automation-eda-controller は 1.1.16 に更新されました
コンテナベースの Ansible Automation Platform
* コンテナ化されたインストーラーのセットアップが 2.5-22 に更新されました
RPM ベースの Ansible Automation Platform
* 復元で、クラスターモードで redis 用の SSL 証明書が適切に生成されない問題を修正しましたAAP-60991
* ansible-automation-platform-installer およびインストーラーのセットアップが 2.5-21 に更新されました
追加の変更
* ansible-core は 2.16.16 に更新されました
* すべての python3.11- プレフィックス付き rpm が python3.12- プレフィックス付き rpm で置き換えられます
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?de4ef659
http://www.nessus.org/u?8a5ccf41
https://bugzilla.redhat.com/show_bug.cgi?id=2427456
https://bugzilla.redhat.com/show_bug.cgi?id=2428412
https://bugzilla.redhat.com/show_bug.cgi?id=2430472
https://bugzilla.redhat.com/show_bug.cgi?id=2431959
https://bugzilla.redhat.com/show_bug.cgi?id=2432398
https://bugzilla.redhat.com/show_bug.cgi?id=2434432
https://bugzilla.redhat.com/show_bug.cgi?id=2436338
https://bugzilla.redhat.com/show_bug.cgi?id=2436339
https://bugzilla.redhat.com/show_bug.cgi?id=2436340
https://bugzilla.redhat.com/show_bug.cgi?id=2436341
https://bugzilla.redhat.com/show_bug.cgi?id=2436342
プラグインの詳細
深刻度: High
ID: 301388
ファイル名: redhat-RHSA-2026-3959.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2026/3/7
更新日: 2026/3/7
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
Vendor
Vendor Severity: Important
CVSS v2
リスクファクター: Medium
基本値: 6.4
現状値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:N
CVSS スコアのソース: CVE-2026-22029
CVSS v3
リスクファクター: Medium
基本値: 6.1
現状値: 5.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS v4
リスクファクター: High
Base Score: 8.2
Threat Score: 6.9
Threat Vector: CVSS:4.0/E:P
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L
CVSS スコアのソース: CVE-2026-0994
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:automation-controller-cli, p-cpe:/a:redhat:enterprise_linux:python3.12-aiohttp, p-cpe:/a:redhat:enterprise_linux:python3.12-django, p-cpe:/a:redhat:enterprise_linux:python3.12-protobuf, cpe:/o:redhat:enterprise_linux:8, p-cpe:/a:redhat:enterprise_linux:receptor, cpe:/o:redhat:enterprise_linux:9, p-cpe:/a:redhat:enterprise_linux:receptorctl, p-cpe:/a:redhat:enterprise_linux:automation-controller-venv-tower, p-cpe:/a:redhat:enterprise_linux:automation-controller, p-cpe:/a:redhat:enterprise_linux:automation-controller-server, p-cpe:/a:redhat:enterprise_linux:automation-controller-ui, p-cpe:/a:redhat:enterprise_linux:automation-gateway-server, p-cpe:/a:redhat:enterprise_linux:automation-gateway, p-cpe:/a:redhat:enterprise_linux:automation-gateway-config
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2026/3/6
脆弱性公開日: 2026/1/5
参照情報
CVE: CVE-2025-14550, CVE-2025-61726, CVE-2025-69223, CVE-2026-0994, CVE-2026-1207, CVE-2026-1285, CVE-2026-1287, CVE-2026-1312, CVE-2026-22029, CVE-2026-23490, CVE-2026-24049