RHEL 7:sssd(RHSA-2015:2355)
medium Nessus プラグイン ID 86983
Language:
概要
リモートの Red Hat ホストにセキュリティ更新プログラムが適用されていません。説明
リモート Redhat Enterprise Linux 7 ホストに、RHSA-2015:2355 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。SSSD(System Security Services Daemon)のサービスは、リモートディレクトリと認証メカニズムへのアクセスを管理するためのデーモンのセットを提供します。
SSSD の特権属性証明書 (PAC) レスポンダープラグインが、各認証リクエスト上で少量のメモリを漏洩する可能性があることがわかりました。
リモートの攻撃者が、この欠陥を利用して、PAC レスポンダープラグインを使用して認証するよう構成された Kerberized デーモンアプリケーションに繰り返しリクエストを行うことで、システム上の利用可能なメモリをすべて使い果たす可能性があります。
(CVE-2015-5292)
sssd パッケージが Upstream バージョン 1.13.0 にアップグレードされ、以前のバージョンに対する多くのバグ修正と強化が提供されます。
(BZ#1205554)
いくつかの拡張機能については、Red Hat Enterprise Linux 7.2 リリースノートで説明されており、「参照」セクションでリンクされています。
* SSSD スマートカードのサポート(BZ#854396)
* SSSD でのキャッシュ認証(BZ#910187)
* SSSD は、自動的に検出された AD サイトのオーバーライドをサポートしています(BZ#1163806)
* SSSD が、ロックされたアカウントへの SSH アクセスを拒否できるようになりました(BZ#1175760)
* SSSD により、個別のクライアントで UID と GID のマッピングが有効になります(BZ#1183747)
* キャッシュされたエントリのバックグラウンド更新(BZ#1199533)
* 1 回限りのパスワードと長期間使用するパスワードに対する、複数ステップのプロンプト(BZ#1200873)
* initgroups 操作のキャッシュ(BZ#1206575)
バグ修正:
* IdM サーバー上の SELinux ユーザーコンテンツが空の文字列に設定されると、SSSD SELinux 評価ユーティリティがエラーを返しました。 (BZ#1192314)
* ldap_child プロセスが認証情報の初期化に失敗し、複数回エラーで終了した場合、i-node の量が不十分なために、ファイルを作成する操作が失敗し始める場合がありました。 (BZ#1198477)
* SRV クエリはハードコードされた TTL タイムアウトを使用し、SRV クエリを特定の時間のみ有効にする必要がある環境がブロックされました。
現在は、SSSD は DNS パケットから TTL 値を解析します。 (BZ#1199541)
* 以前、initgroups 操作には過剰な時間がかかっていました。現在は、AD バックエンドと無効化された ID マッピングのセットアップで、ログインと ID 処理が高速化されています。 (BZ#1201840)
* Red Hat Enterprise Linux 7.1 以降の IdM クライアントが Red Hat Enterprise Linux 7.0 以前のサーバーに接続しているとき、信頼できる AD ドメインによる認証により、sssd_be プロセスが予期せず終了しました。 (BZ#1202170)
* HBAC プロセス中にレプリケーション衝突エントリが出現すると、ユーザーのアクセスが拒否されていました。現在は、レプリケーション競合のエントリがスキップされ、ユーザーのアクセスが許可されています。 (BZ#1202245)
* SID の配列に初期化されていない値が含まれることはなくなり、SSSD はクラッシュしなくなります。 (BZ#1204203)
* SSSD は異なるドメインコントローラーからの GPO をサポートし、異なるドメインコントローラーからの GPO を処理する際にクラッシュすることはありません。
(BZ#1205852)
* SSSD は、名前に括弧などの特殊文字を含むグループを含む sudo ルールをリフレッシュできませんでした。 (BZ#1208507)
* IPA 名がサーバーによってすでに修飾されている場合、クライアント側で修飾されず、default_domain_suffix がサーバー側で使用されている場合でも、IdM グループメンバーは解決されます。 (BZ#1211830)
* sssd_be プロセスのパフォーマンスを向上させるために、内部キャッシュクリーンアップタスクがデフォルトで無効になりました。 (BZ#1212489)
* 現在、default_domain_suffix は autofs マップに対して考慮されません。
(BZ#1216285)
* ユーザーは subdomain_inherit=ignore_group-members を設定して、信頼できるドメインのグループメンバーのフェッチを無効にすることができます。 (BZ#1217350)
* グループ解決は次のエラーメッセージで失敗しました:Error: 14(Bad address)。バイナリ GUID 処理が修正されました。 (BZ#1226119)
機能強化が追加されました:
* マニュアルページの default_domain_suffix の説明が改善されました。 (BZ#1185536)
* 新しい %0 テンプレートオプションにより、SSSD IdM クライアントのユーザーは AD に設定されたホームディレクトリを使用できるようになりました。 (BZ#1187103)
sssd の全ユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を修正し、これらの強化を追加することが推奨されます。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://bugzilla.redhat.com/show_bug.cgi?id=1211830
https://bugzilla.redhat.com/show_bug.cgi?id=1214337
https://bugzilla.redhat.com/show_bug.cgi?id=1214716
http://www.nessus.org/u?085b62d2
http://www.nessus.org/u?cc9c2a84
https://access.redhat.com/errata/RHSA-2015:2355
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=1007968
https://bugzilla.redhat.com/show_bug.cgi?id=1163806
https://bugzilla.redhat.com/show_bug.cgi?id=1187103
https://bugzilla.redhat.com/show_bug.cgi?id=1187146
https://bugzilla.redhat.com/show_bug.cgi?id=1192314
https://bugzilla.redhat.com/show_bug.cgi?id=1199445
https://bugzilla.redhat.com/show_bug.cgi?id=1200873
https://bugzilla.redhat.com/show_bug.cgi?id=1201840
https://bugzilla.redhat.com/show_bug.cgi?id=1202245
https://bugzilla.redhat.com/show_bug.cgi?id=1202724
https://bugzilla.redhat.com/show_bug.cgi?id=1203642
https://bugzilla.redhat.com/show_bug.cgi?id=1205144
https://bugzilla.redhat.com/show_bug.cgi?id=1205160
https://bugzilla.redhat.com/show_bug.cgi?id=1205554
https://bugzilla.redhat.com/show_bug.cgi?id=1206189
https://bugzilla.redhat.com/show_bug.cgi?id=1206565
https://bugzilla.redhat.com/show_bug.cgi?id=1206566
https://bugzilla.redhat.com/show_bug.cgi?id=1206571
https://bugzilla.redhat.com/show_bug.cgi?id=1214718
https://bugzilla.redhat.com/show_bug.cgi?id=1214719
https://bugzilla.redhat.com/show_bug.cgi?id=1216285
https://bugzilla.redhat.com/show_bug.cgi?id=1217127
https://bugzilla.redhat.com/show_bug.cgi?id=1217559
https://bugzilla.redhat.com/show_bug.cgi?id=1219285
https://bugzilla.redhat.com/show_bug.cgi?id=1234722
https://bugzilla.redhat.com/show_bug.cgi?id=1242942
https://bugzilla.redhat.com/show_bug.cgi?id=1244949
https://bugzilla.redhat.com/show_bug.cgi?id=1246489
https://bugzilla.redhat.com/show_bug.cgi?id=1249015
https://bugzilla.redhat.com/show_bug.cgi?id=1250135
https://bugzilla.redhat.com/show_bug.cgi?id=1254184
https://bugzilla.redhat.com/show_bug.cgi?id=1254189
https://bugzilla.redhat.com/show_bug.cgi?id=1254518
https://bugzilla.redhat.com/show_bug.cgi?id=1259512
https://bugzilla.redhat.com/show_bug.cgi?id=1261155
https://bugzilla.redhat.com/show_bug.cgi?id=1263587
https://bugzilla.redhat.com/show_bug.cgi?id=1263735
https://bugzilla.redhat.com/show_bug.cgi?id=1266107
https://bugzilla.redhat.com/show_bug.cgi?id=1267176
https://bugzilla.redhat.com/show_bug.cgi?id=1267580
https://bugzilla.redhat.com/show_bug.cgi?id=1267836
https://bugzilla.redhat.com/show_bug.cgi?id=1267837
プラグインの詳細
深刻度: Medium
ID: 86983
ファイル名: redhat-RHSA-2015-2355.nasl
バージョン: 2.12
タイプ: local
エージェント: unix
公開日: 2015/11/20
更新日: 2025/4/15
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
Vendor
Vendor Severity: Low
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C
CVSS スコアのソース: CVE-2015-5292
CVSS v3
リスクファクター: Medium
基本値: 6.5
現状値: 5.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:libsss_idmap, p-cpe:/a:redhat:enterprise_linux:sssd-common, p-cpe:/a:redhat:enterprise_linux:sssd-ipa, p-cpe:/a:redhat:enterprise_linux:libsss_idmap-devel, p-cpe:/a:redhat:enterprise_linux:python-libsss_nss_idmap, p-cpe:/a:redhat:enterprise_linux:python-libipa_hbac, p-cpe:/a:redhat:enterprise_linux:sssd-libwbclient, p-cpe:/a:redhat:enterprise_linux:libipa_hbac-devel, p-cpe:/a:redhat:enterprise_linux:libsss_simpleifp-devel, p-cpe:/a:redhat:enterprise_linux:python-sss, p-cpe:/a:redhat:enterprise_linux:sssd-proxy, p-cpe:/a:redhat:enterprise_linux:libsss_nss_idmap, p-cpe:/a:redhat:enterprise_linux:sssd, p-cpe:/a:redhat:enterprise_linux:sssd-libwbclient-devel, p-cpe:/a:redhat:enterprise_linux:sssd-ldap, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:python-sssdconfig, p-cpe:/a:redhat:enterprise_linux:libipa_hbac, p-cpe:/a:redhat:enterprise_linux:sssd-krb5-common, p-cpe:/a:redhat:enterprise_linux:sssd-common-pac, p-cpe:/a:redhat:enterprise_linux:sssd-tools, p-cpe:/a:redhat:enterprise_linux:libsss_nss_idmap-devel, p-cpe:/a:redhat:enterprise_linux:sssd-krb5, p-cpe:/a:redhat:enterprise_linux:python-sss-murmur, p-cpe:/a:redhat:enterprise_linux:sssd-ad, p-cpe:/a:redhat:enterprise_linux:sssd-client, p-cpe:/a:redhat:enterprise_linux:sssd-dbus, p-cpe:/a:redhat:enterprise_linux:libsss_simpleifp
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/11/19
脆弱性公開日: 2015/10/29
参照情報
CVE: CVE-2015-5292