偵測

RHEL 6:Satellite Server (RHSA-2017:2645)

medium Nessus Plugin ID 103045

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Satellite 5.8 和 Red Hat Satellite 5.8 ELS 的 satellite-schema、spacewalk-backend、spacewalk-java 和 spacewalk-schema 更新。Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。Spacewalk 是一種開放原始碼系統管理解決方案,其提供系統佈建、組態及修補功能。Red Hat Satellite 是一種適用於 Linux 型基礎結構的系統管理工具。只要使用一個集中式工具,便可佈建、監控及遠端管理多個 Linux 部署。安全性修正:* 在 Satellite 5 顯示組織名稱的方式中,發現一個跨網站指令碼 (XSS) 缺陷。可變更組織名稱的使用者可惡意利用此缺陷,對其他 Satellite 使用者發動 XSS 攻擊。(CVE-2017-7538) 此問題是由 Ales Dujicek (Red Hat) 所發現。錯誤修正:* 在此更新之前,使用 Inter-Satellite Synchronization 或 channel-dumps 在 Satellites 之間傳輸內容並未傳輸與通道相關的產品名稱。此舉妨礙了在 EUS 通道之間移動伺服器的處理程序。「satellite-export」工具現可正確提供相關的產品名稱,從而修正了此行為。(BZ# 1446271) * 在此更新之前,API 呼叫「schedule.failSystemAction()」允許覆寫系統的事件歷程記錄。從稽核的立場來看,這並不是適當的行為。API 現在已不再允許影響已完成或失敗的事件。(BZ#1455887) * 在此更新之前,不可變更組織屬性的組織管理員只要修改表單元素,即可變更組織屬性。相關的表單控制器不再允許此行為。(BZ#1458722) * 在此更新之前,若有多於鏡像重試計數的可用鏡像,「download」工具的重試限制就不正確。在某些情況下,這也可能會產生無害但沒有助益的回溯。這些行為皆已修正。(BZ#1458765) * 在此更新之前,使用重新啟動金鑰的平行登錄 (建立快照項目) 偶爾會發生鎖死情形。reactivation-key 登錄和 snapshot-creation 路徑均已更新,可防止上述鎖死問題發生。(BZ#1458880) * 在此更新之前,任一特定存放庫的單一 erratum 若有問題,「reposync」命令就會呈報並結束。該工具現在會記錄此錯誤,但會繼續同步化任何其餘的 errata。(BZ #1466229) * Satellite 5.8 版本未能納入已針對 Satellite 5.7 發佈的 registration-failure 錯誤訊息更新。這會恢復缺漏的更新。(BZ#1467632) * 在此更新之前,System Set Manager 中的系統清單未顯示系統更新狀態的正確圖示。此問題已更正。(BZ#1475067) * 在此更新之前,一次同步化多個通道時,「cdn-sync」命令中的計時視窗可能造成某些同步化嘗試遭到拒絕,並發生 403 錯誤。此更新修正了該計時視窗,現在多重同步化作業已可穩定運作。(BZ# 1476924) * 在此更新之前,嘗試在受到特定 erratum 影響的 System Set Manager 中檢視系統會導致內部伺服器錯誤。這個問題已修正。(BZ#1477508) * 在此更新之前,在特定通道上使用「cdn-sync --no-packages」會解除所有套件與該通道的關聯。此行為已經過修正,「--no-packages」現在會如預期略過該步驟。(BZ# 1477667)

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/articles/273633

https://access.redhat.com/articles/11258

https://access.redhat.com/errata/RHSA-2017:2645

https://access.redhat.com/security/cve/cve-2017-7538

Plugin 詳細資訊

嚴重性: Medium

ID: 103045

檔案名稱: redhat-RHSA-2017-2645.nasl

版本: 3.10

類型: local

代理程式: unix

已發布: 2017/9/8

已更新: 2019/10/24

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.0

CVSS v2

風險因素: Low

基本分數: 3.5

時間分數: 2.6

媒介: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS v3

風險因素: Medium

基本分數: 5.4

時間分數: 4.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:spacewalk-java, p-cpe:/a:redhat:enterprise_linux:spacewalk-java-config, p-cpe:/a:redhat:enterprise_linux:spacewalk-java-lib, p-cpe:/a:redhat:enterprise_linux:spacewalk-java-oracle, p-cpe:/a:redhat:enterprise_linux:spacewalk-java-postgresql, p-cpe:/a:redhat:enterprise_linux:spacewalk-schema, p-cpe:/a:redhat:enterprise_linux:spacewalk-taskomatic, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:satellite-schema, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-app, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-applet, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-cdn, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-config-files, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-config-files-common, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-config-files-tool, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-iss, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-iss-export, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-libs, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-package-push-server, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-server, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-sql, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-sql-oracle, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-sql-postgresql, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-tools, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-xml-export-libs, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-xmlrpc

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/9/6

弱點發布日期: 2018/7/26

參考資訊

CVE: CVE-2017-7538

RHSA: 2017:2645