RHEL 7:heketi (RHSA-2017:3481)
high Nessus Plugin ID 105407
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat Enterprise Linux 7 之 Red Hat Gluster Storage 3.3 的 heketi 更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。Heketi 提供的 RESTful 管理介面可用於管理 GlusterFS 磁碟區的生命週期。使用 Heketi 後,如 OpenStack Manila、Kubernetes 和 OpenShift 的雲端服務就可動態佈建具有任何受支援耐用性類型的 GlusterFS 磁碟區。Heketi 可自動判斷叢集間的 brick 位置,確保在不同的故障網域間放置 brick 及其複本。Heketi 也支援任意數量的 GlusterFS 叢集,允許雲端服務提供網路檔案儲存區,而又不限於單一 GlusterFS 叢集。安全性修正:* 在 Heketi 伺服器 API 處理使用者要求的方式中,發現一個安全性檢查缺陷。經驗證的 Heketi 使用者可傳送特製的要求到 Heketi 伺服器,在使用者執行 Heketi 伺服器時導致遠端命令執行,以及可能的權限提升。(CVE-2017-15103) * 在 heketi 中發現一個存取缺陷:heketi.json 組態檔案可全域讀取。具有 Heketi 伺服器本機存取權限的攻擊者可從 heketi.json 檔案讀取純文字密碼。(CVE-2017-15104) Red Hat 感謝 Markus Krell (NTT Security) 報告 CVE-2017-15103。CVE-2017-15104 問題是由 Siddharth Sharma (Red Hat) 所發現。解決方案
請更新受影響的 heketi、heketi-client 和/或 python-heketi 套件。另請參閱
https://access.redhat.com/errata/RHSA-2017:3481
Plugin 詳細資訊
嚴重性: High
ID: 105407
檔案名稱: redhat-RHSA-2017-3481.nasl
版本: 3.7
類型: local
代理程式: unix
已發布: 2017/12/21
已更新: 2019/10/24
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 9
時間分數: 6.7
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:heketi, p-cpe:/a:redhat:enterprise_linux:heketi-client, p-cpe:/a:redhat:enterprise_linux:python-heketi, cpe:/o:redhat:enterprise_linux:7
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2017/12/18
弱點發布日期: 2017/12/18
參考資訊
CVE: CVE-2017-15103, CVE-2017-15104
RHSA: 2017:3481