RHEL 7:Mobile Application Platform (RHSA-2017:2674)

critical Nessus Plugin ID 103349

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Mobile Application Platform 4.5 的更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。Red Hat Mobile Application Platform (RHMAP) 4.5 是以一組 Docker-formatted 容器影像的形式提供。除了影像之外,還有幾個元件以 RPM 的形式提供:* 用於部署 RHMAP Core 和 MBaaS 的 OpenShift 範本 * fh-system-dump-tool 可供您分析在 OpenShift 叢集中執行的所有專案,並呈報任何發現的問題。如需詳細資訊,請參閱《操作指南》 下列 RPM 內含在 RHMAP 容器影像中,僅為完整性而於此處提供:* 用於監控 RHMAP 元件狀態的 Nagios 伺服器已安裝在 Nagios 容器影像內。此版本是 Red Hat Mobile Application Platform 4.4.3 的更新。其中包含錯誤修正和增強功能。如需此版本中包含的最重要錯誤修正和增強功能的相關資訊,請參閱 Red Hat Mobile Application Platform 4.5.0「版本資訊」。Nagios 是一種程式,可監控您網路中的主機與服務,且可在發生問題或解決問題時,傳送電子郵件或頁面警示。安全性修正:* 在 Git 中發現與處理「ssh」URL 相關的殼層命令注入缺陷。攻擊者可利用此缺陷,使用執行 Git 用戶端的使用者權限來執行殼層命令,例如在惡意存放庫上,或在包含惡意認可的合法存放庫上執行「複製」動作時。(CVE-2017-1000117) * 在 millicore 的檔案編輯器中發現可供他人執行及建立檔案的缺陷。攻擊者可利用此缺陷入侵儲存在 RHMAP Core 安裝來源控制管理中的其他使用者或團隊專案。(CVE-2017-7552) * App Studio (millicore) 中的 external_request api 呼叫執行可供伺服端要求偽造 (SSRF)。攻擊者可利用此缺陷探測網路內部資源,並存取受限制的端點。(CVE-2017-7553) * 發現一個 RHMAP 4.4 的 App Studio 元件執行使用者所提供 JavaScript 的缺陷。攻擊者可利用此缺陷對使用 App Studio 的應用程式管理員發動已儲存 XSS 攻擊。(CVE-2017-7554) Red Hat 感謝 Tomas Rzepka 報告 CVE-2017-7552、CVE-2017-7553 和 CVE-2017-7554。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/documentation/en-US/

https://access.redhat.com/errata/RHSA-2017:2674

https://access.redhat.com/security/cve/cve-2017-1000117

https://access.redhat.com/security/cve/cve-2017-7552

https://access.redhat.com/security/cve/cve-2017-7553

https://access.redhat.com/security/cve/cve-2017-7554

Plugin 詳細資訊

嚴重性: Critical

ID: 103349

檔案名稱: redhat-RHSA-2017-2674.nasl

版本: 3.11

類型: local

代理程式: unix

已發布: 2017/9/20

已更新: 2019/10/24

支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

風險資訊

VPR

風險因素: High

分數: 7.4

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 6.2

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS v3

風險因素: Critical

基本分數: 9.8

時間分數: 9.1

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:F/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:nagios-plugins-icmp, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-users, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-nwstat, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-mrtg, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ssh, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-cluster, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-hpjd, p-cpe:/a:redhat:enterprise_linux:perl-crypt-cbc, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-breeze, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-swap, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ntp, p-cpe:/a:redhat:enterprise_linux:radiusclient-ng-devel, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-oracle, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-load, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ping, p-cpe:/a:redhat:enterprise_linux:ssmtp-debuginfo, p-cpe:/a:redhat:enterprise_linux:fping, p-cpe:/a:redhat:enterprise_linux:perl-crypt-des, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-mysql, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-wave, p-cpe:/a:redhat:enterprise_linux:rhmap-mod_authnz_external-debuginfo, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-debuginfo, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ifoperstatus, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-mrtgtraf, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-perl, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-http, p-cpe:/a:redhat:enterprise_linux:fping-debuginfo, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-mailq, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-dummy, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-dig, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-flexlm, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-sensors, p-cpe:/a:redhat:enterprise_linux:radiusclient-ng-debuginfo, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-radius, p-cpe:/a:redhat:enterprise_linux:redis-debuginfo, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-procs, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-dhcp, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-overcr, p-cpe:/a:redhat:enterprise_linux:nagios-common, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-game, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-pgsql, p-cpe:/a:redhat:enterprise_linux:nagios-devel, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-uptime, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ircd, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-smtp, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-apt, p-cpe:/a:redhat:enterprise_linux:fh-system-dump-tool, p-cpe:/a:redhat:enterprise_linux:sendemail, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-time, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-dbi, p-cpe:/a:redhat:enterprise_linux:radiusclient-ng, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-nagios, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-file_age, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-nt, p-cpe:/a:redhat:enterprise_linux:phantomjs, p-cpe:/a:redhat:enterprise_linux:perl-net-snmp, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ldap, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-fping, p-cpe:/a:redhat:enterprise_linux:ssmtp, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ide_smart, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-tcp, p-cpe:/a:redhat:enterprise_linux:rhmap-fh-openshift-templates, p-cpe:/a:redhat:enterprise_linux:qstat-debuginfo, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-rpc, p-cpe:/a:redhat:enterprise_linux:radiusclient-ng-utils, p-cpe:/a:redhat:enterprise_linux:qstat, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-by_ssh, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-log, p-cpe:/a:redhat:enterprise_linux:nagios, p-cpe:/a:redhat:enterprise_linux:nagios-debuginfo, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-snmp, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-disk_smb, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ntp-perl, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-disk, p-cpe:/a:redhat:enterprise_linux:supervisor, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-dns, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ifstatus, p-cpe:/a:redhat:enterprise_linux:redis, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-real, p-cpe:/a:redhat:enterprise_linux:perl-crypt-des-debuginfo, p-cpe:/a:redhat:enterprise_linux:python-meld3-debuginfo, p-cpe:/a:redhat:enterprise_linux:nagios-plugins, p-cpe:/a:redhat:enterprise_linux:python-meld3, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-ups, p-cpe:/a:redhat:enterprise_linux:nagios-plugins-all, p-cpe:/a:redhat:enterprise_linux:phantomjs-debuginfo, p-cpe:/a:redhat:enterprise_linux:rhmap-mod_authnz_external

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可被惡意程式利用: true

可輕鬆利用: Exploits are available

修補程式發佈日期: 2017/9/18

弱點發布日期: 2017/9/29

可惡意利用

Metasploit (Malicious Git HTTP Server For CVE-2017-1000117)

參考資訊

CVE: CVE-2017-1000117, CVE-2017-7552, CVE-2017-7553, CVE-2017-7554

RHSA: 2017:2674