検出

RHEL 7:sssd(RHSA-2015:2355)

medium Nessus プラグイン ID 86983

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題と複数のバグを修正し、様々な強化を追加する更新済みの sssd パッケージが、Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度低として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

システムセキュリティサービスデーモン(SSSD)のサービスが、リモートディレクトリと認証メカニズムへのアクセスを管理するためにデーモンのセットを提供します。

SSSD の特権属性証明書(PAC)レスポンダープラグインが、各認証リクエスト上で少量のメモリを漏洩する可能性があることがわかりました。リモートの攻撃者がこの欠陥を利用し、PAC レスポンダープラグインを使用して認証するよう構成された Kerberized デーモンアプリケーションに繰り返しリクエストを送信することで、システム上で利用可能なすべてのメモリを使い果たす可能性があります。(CVE-2015-5292)

sssd パッケージが Upstream バージョン 1.13.0 にアップグレードされ、以前のバージョンに対する多くのバグ修正と強化が提供されます。(BZ#1205554)

複数の拡張機能の詳細は Red Hat Enterprise Linux 7.2 リリースノートで説明されています。「参照」セクションでリンクが提供されています。

* SSSD スマートカードサポート(BZ#854396)* SSSD におけるキャッシュ認証(BZ#910187)* SSSD は自動的に検出された AD サイトのオーバーライドをサポートします(BZ#1163806)* SSSD はロックされたアカウントへの SSH アクセスを拒否します(BZ#1175760)* SSSD は各クライアント上で UID および GID マッピングを有効化します(BZ#1183747)* キャッシュされたエントリのバックグラウンドリフレッシュ(BZ#1199533)* ワンタイムおよび長期的パスワード向けのマルチステッププロンプト(BZ#1200873)
* initgroups 操作向けのキャッシュ(BZ#1206575)

修正されたバグ:

* IdM サーバー上にある SELinux ユーザーのコンテンツが空の文字列に設定されると、SSSD SELinux 評価ユーティリティはエラーを返しました。
(BZ#1192314)

* ldap_child プロセスが認証情報の初期化に失敗し、複数回エラーとともに終了した場合、i-node の数が不十分なために、ファイルを作成する操作が失敗し始める場合がありました。
(BZ#1198477)

* ハードコードされた TTL タイムアウトを使用する SRV クエリ、および一定時間のみ SRV クエリを有効にするよう要求する環境は、ブロックされました。現在、SSSD は DNS パケットからの TTL 値を解析するようになりました。
(BZ#1199541)

* 以前、initgroups 操作には過剰な時間がかかっていました。
現在、AD バックエンドおよび無効化された ID マッピングを使ったセットアップに対するログインおよび ID 処理は、速くなりました。(BZ#1201840)

* Red Hat Enterprise Linux 7.1 以降を使用する IdM クライアントが Red Hat Enterprise Linux 7.0 以前を使用するサーバーに接続しようとすると、信頼されている AD ドメインを使用する認証が、sssd_be プロセスの予期しない終了を引き起こしました。(BZ#1202170)

* HBAC プロセス中にレプリケーション衝突エントリが出現すると、ユーザーのアクセスが拒否されていました。現在、レプリケーション衝突エントリはスキップされ、ユーザーのアクセスが許可されるようになりました。(BZ#1202245)

* SID の配列が初期化されていない値を含むことはなくなり、SSSD がクラッシュすることはありません。(BZ#1204203)

* SSSD は異なるドメインコントローラーからの GPO をサポートし、異なるドメインコントローラーからの GPO を処理する際にクラッシュすることはありません。
(BZ#1205852)

* SSSD は、名前に括弧などの特殊文字が使用されているグループを含む sudo ルールをリフレッシュできませんでした。(BZ#1208507)

* サーバーがすでに IPA 名を修飾した場合、クライアント側で IPA 名は修飾されず、default_domain_suffix がサーバー側で使用されていても、IdM グループメンバーは決定されます。(BZ#1211830)

* sssd_be プロセスのパフォーマンスを向上させせるために、内部キャッシュクリーンアップタスクがデフォルトで無効化されました。(BZ#1212489)

* 現在、default_domain_suffix は autofs マップに対して考慮されません。(BZ#1216285)

* ユーザーは subdomain_inherit=ignore_group-members を設定して、信頼される側のドメインにグループメンバーをフェッチすることを無効化できます。(BZ#1217350)

* グループ解決が失敗し、次のエラーメッセージが表示されました:「エラー:14(不正なアドレス)」。バイナリ GUID 処理が修正されました。(BZ#1226119)

拡張機能が追加されました:

* マニュアルページの default_domain_suffix に関する説明が改善されました。(BZ#1185536)

* 新しい「%0」テンプレートオプションにより、SSSD IdM クライアント上のユーザーは、AD 上で設定されたホームディレクトリを使用することができます。(BZ#1187103)

sssd の全ユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を修正し、これらの強化を追加することが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2015:2355

https://access.redhat.com/security/cve/cve-2015-5292

プラグインの詳細

深刻度: Medium

ID: 86983

ファイル名: redhat-RHSA-2015-2355.nasl

バージョン: 2.11

タイプ: local

エージェント: unix

公開日: 2015/11/20

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:libipa_hbac, p-cpe:/a:redhat:enterprise_linux:libipa_hbac-devel, p-cpe:/a:redhat:enterprise_linux:libsss_idmap, p-cpe:/a:redhat:enterprise_linux:libsss_idmap-devel, p-cpe:/a:redhat:enterprise_linux:libsss_nss_idmap, p-cpe:/a:redhat:enterprise_linux:libsss_nss_idmap-devel, p-cpe:/a:redhat:enterprise_linux:libsss_simpleifp, p-cpe:/a:redhat:enterprise_linux:libsss_simpleifp-devel, p-cpe:/a:redhat:enterprise_linux:python-libipa_hbac, p-cpe:/a:redhat:enterprise_linux:python-libsss_nss_idmap, p-cpe:/a:redhat:enterprise_linux:python-sss, p-cpe:/a:redhat:enterprise_linux:python-sss-murmur, p-cpe:/a:redhat:enterprise_linux:python-sssdconfig, p-cpe:/a:redhat:enterprise_linux:sssd, p-cpe:/a:redhat:enterprise_linux:sssd-ad, p-cpe:/a:redhat:enterprise_linux:sssd-client, p-cpe:/a:redhat:enterprise_linux:sssd-common, p-cpe:/a:redhat:enterprise_linux:sssd-common-pac, p-cpe:/a:redhat:enterprise_linux:sssd-dbus, p-cpe:/a:redhat:enterprise_linux:sssd-debuginfo, p-cpe:/a:redhat:enterprise_linux:sssd-ipa, p-cpe:/a:redhat:enterprise_linux:sssd-krb5, p-cpe:/a:redhat:enterprise_linux:sssd-krb5-common, p-cpe:/a:redhat:enterprise_linux:sssd-ldap, p-cpe:/a:redhat:enterprise_linux:sssd-libwbclient, p-cpe:/a:redhat:enterprise_linux:sssd-libwbclient-devel, p-cpe:/a:redhat:enterprise_linux:sssd-proxy, p-cpe:/a:redhat:enterprise_linux:sssd-tools, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.2, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/11/19

脆弱性公開日: 2015/10/29

参照情報

CVE: CVE-2015-5292

RHSA: 2015:2355