CentOS 7:glusterfs (CESA-2018:2607)
high Nessus Plugin ID 118982
語系:
概要
遠端 CentOS 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat Enterprise Linux 7 上 Red Hat Gluster Storage 3.4 的 glusterfs 更新版套件,修正多個安全性問題和錯誤,並新增數個增強功能。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。GlusterFS 是 Red Hat Gluster Storage 適用的主要建置區塊。其根據可堆疊的使用者空間設計,並能為不同的工作負載提供卓越效能。GlusterFS 將網路互相連線上不同的儲存伺服器彙集成一個大型、平行的網路檔案系統。安全性修正:* glusterfs:debug/io-stats 翻譯程式中未清理的檔案名稱可造成遠端攻擊者執行任意程式碼 (CVE-2018-10904) * glusterfs:server-rpc-fops.c 中的堆疊型緩衝區溢位可造成遠端攻擊者執行任意程式碼 (CVE-2018-10907) * glusterfs:儲存伺服器上的任意裝置發生 I/O (CVE-2018-10923) * glusterfs:可在任意位置建立裝置檔案 (CVE-2018-10926) * glusterfs:檔案狀態資訊洩漏和拒絕服務 (CVE-2018-10927) * glusterfs:未正確解析符號連結,導致權限提升 (CVE-2018-10928) * glusterfs:在儲存伺服器上建立任意檔案可造成執行任意程式碼 (CVE-2018-10929) * glusterfs:可在磁碟區外重新命名檔案 (CVE-2018-10930) * glusterfs:dict.c:dict_unserialize() 的不正確還原序列化可造成攻擊者讀取任意記憶體 (CVE-2018-10911) * glusterfs:posix-helpers.c 中的 posix_get_file_contents 函式導致 gluster 磁碟區遠端拒絕服務 (CVE-2018-10914) * glusterfs:posix-helpers.c 中的 posix_get_file_contents 函式發生資訊洩漏 (CVE-2018-10913) 如需安全性問題的詳細資料,包括影響、CVSS 分數及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。Red Hat 感謝 Michael Hanselmann (hansmi.ch) 報告這些問題。其他變更:這些更新版 glusterfs 套件包含多個錯誤修正及增強功能。因空間所限,無法在此公告中記錄所有這些變更。如需這些重要變更的相關資訊,系統會將使用者導向到 Red Hat Gluster Storage 3.4 版本資訊:https://access.redhat.com/site/documentation/en-US/red_hat_gluster_sto rage/3.4/ html/3.4_release_notes/ 建議 Red Hat Gluster Storage 的所有使用者升級到這些更新套件,更新套件提供數個錯誤修正和增強功能。解決方案
更新受影響的 glusterfs 套件。另請參閱
Plugin 詳細資訊
嚴重性: High
ID: 118982
檔案名稱: centos_RHSA-2018-2607.nasl
版本: 1.5
類型: local
代理程式: unix
已發布: 2018/11/16
已更新: 2021/4/8
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: Medium
基本分數: 6.5
時間分數: 4.8
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2018-10904
CVSS v3
風險因素: High
基本分數: 8.8
時間分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:centos:centos:glusterfs, p-cpe:/a:centos:centos:glusterfs-api, p-cpe:/a:centos:centos:glusterfs-api-devel, p-cpe:/a:centos:centos:glusterfs-cli, p-cpe:/a:centos:centos:glusterfs-client-xlators, p-cpe:/a:centos:centos:glusterfs-devel, p-cpe:/a:centos:centos:glusterfs-fuse, p-cpe:/a:centos:centos:glusterfs-libs, p-cpe:/a:centos:centos:glusterfs-rdma, p-cpe:/a:centos:centos:python2-gluster, cpe:/o:centos:centos:7
必要的 KB 項目: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2018/11/15
弱點發布日期: 2018/9/4
參考資訊
CVE: CVE-2018-10904, CVE-2018-10907, CVE-2018-10911, CVE-2018-10913, CVE-2018-10914, CVE-2018-10923, CVE-2018-10926, CVE-2018-10927, CVE-2018-10928, CVE-2018-10929, CVE-2018-10930
RHSA: 2018:2607