RHEL 6 / 7：Red Hat Satellite 6 (RHSA-2018:0273)

medium Nessus Plugin ID 106615

語系：

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 的 Red Hat Satellite 6.2 的更新。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。Red Hat Satellite 是一套系統管理解決方案，讓組織無須為其伺服器或其他用戶端系統提供公共網際網路存取，就可以設定和維護系統。可執行預先定義標準作業環境的佈建和組態管理。Twisted 是適用於網際網路應用程式的事件式框架。Twisted Web 是完整的網路伺服器，旨在利用 Twisted 和 Python 主控 Web 應用程式，但同時又完全能為靜態頁面提供服務。安全性修正：* 據發現，python-twisted-web 使用 HTTP 要求中 Proxy 標頭的值來初始化 CGI 指令碼的 HTTP_PROXY 環境變數，而某些 HTTP 用戶端實作會不當使用這些變數來設定傳出 HTTP 要求的代理伺服器。遠端攻擊者可能利用此缺陷，透過惡意 HTTP 要求，將 CGI 指令碼執行的 HTTP 要求重新導向至受攻擊者控制的代理伺服器。(CVE-2016-1000111) Red Hat 感謝 Scott Geary (VendHQ) 報告此問題。此更新修正下列錯誤：* 從 Satellite 6.2 升級到 Satellite 6.3 因為使用具有自訂授權單位的憑證而失敗。這些升級路徑現在可正常運作。(BZ# 1523880、BZ#1527963) * 從 Satellite 6.2 升級到 Satellite 6.3 時，提供其他工具來支援資料驗證。(BZ#1519904) * goferd 和 qpid 中數個記憶體使用錯誤已解決。(BZ# 1319165、BZ#1318015、BZ#1492355、BZ#1491160、BZ#1440235) * Puppet 報告效能和 errata 適用性已改良。(BZ#1465146、BZ#1482204) * 從 6.2.10 升級到 6.2.11 時，若未正確停止服務可導致升級在移動 qpid 資料時失敗。現在可正確處理這種情況。(BZ#1482539) * 安裝處理程序現在可設定 Puppet 伺服器的加密套件。(BZ#1491363) * Apache 伺服器的預設加密套件現在預設變得更安全。(BZ#1467434) * Satellite 中的 Pulp 伺服器已增強，能更佳處理單一主機的 errata 適用性與同步 Puppet 存放庫的並行處理。(BZ#1515195、BZ#1421594) * VDC 訂閱建立的來賓集區僅供單一主機使用。系統管理員將這些集區附加到錯誤的啟用金鑰。此功能已停用。(BZ#1369189) * Satellite 不受 RHSA-2016:1978 影響，但安全掃描程式可能會錯誤將此標註為問題。來自此 errata 的套件現在可傳遞至 Satellite 通道，避免這些誤判。(BZ# 1497337) * OpenScap 報告剖析造成記憶體洩漏。此洩漏已修正。(BZ#1454743) * docker 容器和存放庫的名稱長度驗證過於嚴格。現在可使用較長的名稱。(BZ#1424689) 建議 Red Hat Satellite 使用者皆升級至這些更新版套件，這些套件可修正這些問題。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/cve/cve-2016-1000111

https://access.redhat.com/errata/RHSA-2018:0273

Plugin 詳細資訊

嚴重性: Medium

ID: 106615

檔案名稱: redhat-RHSA-2018-0273.nasl

版本: 3.12

類型: local

代理程式: unix

系列: Red Hat Local Security Checks

已發布: 2018/2/6

已更新: 2020/3/16

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 1.4

CVSS v2

風險因素: Medium

基本分數: 5

時間分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS v3

風險因素: Medium

基本分數: 5.3

時間分數: 4.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:foreman-rackspace, p-cpe:/a:redhat:enterprise_linux:foreman-vmware, p-cpe:/a:redhat:enterprise_linux:katello, p-cpe:/a:redhat:enterprise_linux:katello-capsule, p-cpe:/a:redhat:enterprise_linux:katello-common, p-cpe:/a:redhat:enterprise_linux:katello-debug, p-cpe:/a:redhat:enterprise_linux:katello-installer-base, p-cpe:/a:redhat:enterprise_linux:katello-service, p-cpe:/a:redhat:enterprise_linux:libqpid-dispatch, p-cpe:/a:redhat:enterprise_linux:pulp-admin-client, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-admin-extensions, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-plugins, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-tools, p-cpe:/a:redhat:enterprise_linux:pulp-selinux, p-cpe:/a:redhat:enterprise_linux:pulp-server, p-cpe:/a:redhat:enterprise_linux:python-pulp-agent-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-bindings, p-cpe:/a:redhat:enterprise_linux:python-pulp-client-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-oid_validation, p-cpe:/a:redhat:enterprise_linux:python-pulp-puppet-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-repoauth, p-cpe:/a:redhat:enterprise_linux:python-pulp-streamer, p-cpe:/a:redhat:enterprise_linux:python-qpid-proton, p-cpe:/a:redhat:enterprise_linux:python-twisted-web, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-debuginfo, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-router, p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:foreman, p-cpe:/a:redhat:enterprise_linux:foreman-compute, p-cpe:/a:redhat:enterprise_linux:foreman-debug, p-cpe:/a:redhat:enterprise_linux:foreman-ec2, p-cpe:/a:redhat:enterprise_linux:foreman-gce, p-cpe:/a:redhat:enterprise_linux:foreman-installer, p-cpe:/a:redhat:enterprise_linux:foreman-installer-katello, p-cpe:/a:redhat:enterprise_linux:foreman-libvirt, p-cpe:/a:redhat:enterprise_linux:foreman-openstack, p-cpe:/a:redhat:enterprise_linux:foreman-ovirt, p-cpe:/a:redhat:enterprise_linux:foreman-postgresql, p-cpe:/a:redhat:enterprise_linux:qpid-proton-debuginfo, p-cpe:/a:redhat:enterprise_linux:rubygem-smart_proxy_openscap, p-cpe:/a:redhat:enterprise_linux:satellite, p-cpe:/a:redhat:enterprise_linux:satellite-capsule, p-cpe:/a:redhat:enterprise_linux:satellite-cli, p-cpe:/a:redhat:enterprise_linux:satellite-debug-tools, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-foreman_theme_satellite, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-katello, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-katello_ostree, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-tools, p-cpe:/a:redhat:enterprise_linux:qpid-proton-c

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2018/2/5

弱點發布日期: 2020/3/11

參考資訊

CVE: CVE-2016-1000111

RHSA: 2018:0273