Scientific Linux セキュリティ更新:SL7.x x86_64 上の sssd
medium Nessus プラグイン ID 87575
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
SSSD の特権属性証明書(PAC)レスポンダープラグインが、各認証リクエスト上で少量のメモリを漏洩する可能性があることがわかりました。リモートの攻撃者がこの欠陥を利用し、PAC レスポンダープラグインを使用して認証するよう構成された Kerberized デーモンアプリケーションに繰り返しリクエストを送信することで、システム上で利用可能なすべてのメモリを使い果たす可能性があります。(CVE-2015-5292)sssd パッケージが Upstream バージョン 1.13.0 にアップグレードされ、以前のバージョンに対する多くのバグ修正と強化が提供されます。
- SSSD スマートカードサポート * SSSD におけるキャッシュ認証 * SSSD は自動的に検出された AD サイトのオーバーライドをサポートします * SSSD がロックされたアカウントへの SSH アクセスを拒否できるようになりました * SSSD は各クライアント上で UID および GID マッピングを有効化します * キャッシュされたエントリのバックグラウンドリフレッシュ * ワンタイムおよび長期パスワードに対するマルチステッププロンプト * initgroups 操作に対するキャッシング
修正されたバグ:
- IdM サーバー上の SELinux ユーザーコンテンツを空の文字列に設定すると、SSSD SELinux 評価ユーティリティはエラーを返しました。
- ldap_child プロセスが認証情報の初期化に失敗し、複数回のエラーで終了した場合、i-node の量が不十分なために、ファイル作成操作が失敗し始める場合がありました。
- ハードコードされた TTL タイムアウトを使用する SRV クエリ、および一定時間のみ SRV クエリを有効にする必要がある環境がブロックされました。現在、SSSD は DNS パケットからの TTL 値を解析するようになりました。
- 以前、initgroups 操作には過剰な時間がかかりました。現在、AD バックエンドおよび無効化された ID マッピングを使ったセットアップに対するログインおよび ID 処理は、速くなりました。
- Scientific Linux 7.1 以降の IdM クライアントが Scientific Linux 7.0 以前のサーバーに接続していると、信頼できる AD ドメインでの認証によって、sssd_be プロセスが予期せず終了しました。
- HBAC 処理中にレプリケーション衝突エントリが出現すると、ユーザーがアクセスを拒否されました。現在、レプリケーション衝突エントリはスキップされ、ユーザーのアクセスが許可されるようになりました。
- SID 配列に初期化されていない値が含まれることはなくなり、SSSD がクラッシュすることはありません。
- SSSD は異なるドメインコントローラーからの GPO をサポートし、異なるドメインコントローラーからの GPO を処理する際にクラッシュすることがなくなります。
- SSSD は、丸括弧などの特殊文字が名前に使用されているグループを含む sudo ルールをリフレッシュできませんでした。
- サーバーが IPA 名を既に修飾した場合、クライアント側で IPA 名は修飾されず、default_domain_suffix がサーバー側で使用されていても IdM グループメンバーは解決します。
- sssd_be プロセスのパフォーマンスを向上させるために、内部キャッシュクリーンアップタスクがデフォルトで無効化されました。
- 現在、default_domain_suffix は autofs マップに考慮されません。
- ユーザーは subdomain_inherit=ignore_group-members を設定して、信頼できるドメインに対するグループメンバーのフェッチを無効化できます。
- 次のエラーメッセージでグループ解決が失敗しました:
「Error: 14 (Bad address)(エラー:14(無効なアドレス))」。バイナリ GUID 処理が修正されました。
拡張機能が追加されました:
- マニュアルページの default_domain_suffix に関する説明が改善されました。
- 新しい「%0」テンプレートオプションにより、SSSD IdM クライアント上のユーザーは、AD で設定されたホームディレクトリを使用できるようになりました。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 87575
ファイル名: sl_20151119_sssd_on_SL7_x.nasl
バージョン: 2.5
タイプ: local
エージェント: unix
公開日: 2015/12/22
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 6.8
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C
脆弱性情報
CPE: p-cpe:/a:fermilab:scientific_linux:libipa_hbac, p-cpe:/a:fermilab:scientific_linux:libipa_hbac-devel, p-cpe:/a:fermilab:scientific_linux:libsss_idmap, p-cpe:/a:fermilab:scientific_linux:libsss_idmap-devel, p-cpe:/a:fermilab:scientific_linux:libsss_nss_idmap, p-cpe:/a:fermilab:scientific_linux:libsss_nss_idmap-devel, p-cpe:/a:fermilab:scientific_linux:libsss_simpleifp, p-cpe:/a:fermilab:scientific_linux:libsss_simpleifp-devel, p-cpe:/a:fermilab:scientific_linux:python-libipa_hbac, p-cpe:/a:fermilab:scientific_linux:python-libsss_nss_idmap, p-cpe:/a:fermilab:scientific_linux:python-sss, p-cpe:/a:fermilab:scientific_linux:python-sss-murmur, p-cpe:/a:fermilab:scientific_linux:python-sssdconfig, p-cpe:/a:fermilab:scientific_linux:sssd, p-cpe:/a:fermilab:scientific_linux:sssd-ad, p-cpe:/a:fermilab:scientific_linux:sssd-client, p-cpe:/a:fermilab:scientific_linux:sssd-common, p-cpe:/a:fermilab:scientific_linux:sssd-common-pac, p-cpe:/a:fermilab:scientific_linux:sssd-dbus, p-cpe:/a:fermilab:scientific_linux:sssd-debuginfo, p-cpe:/a:fermilab:scientific_linux:sssd-ipa, p-cpe:/a:fermilab:scientific_linux:sssd-krb5, p-cpe:/a:fermilab:scientific_linux:sssd-krb5-common, p-cpe:/a:fermilab:scientific_linux:sssd-ldap, p-cpe:/a:fermilab:scientific_linux:sssd-libwbclient, p-cpe:/a:fermilab:scientific_linux:sssd-libwbclient-devel, p-cpe:/a:fermilab:scientific_linux:sssd-proxy, p-cpe:/a:fermilab:scientific_linux:sssd-tools, x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
パッチ公開日: 2015/11/19
脆弱性公開日: 2015/10/29
参照情報
CVE: CVE-2015-5292