RHEL 7:Red Hat OpenShift Enterprise 3.2 (RHSA-2016:1094)
high Nessus Plugin ID 119373
語言:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat OpenShift Enterprise 3.2 的 atomic-openshift 和 nodejs-node-uuid 更新。此外,所有影像已在新的 RHEL 7.2.4 基礎影像上重建。Red Hat 產品安全性團隊已將此更新評等為具有重要安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。Red Hat 的 OpenShift Enterprise 是該公司的雲端運算平台即服務 (PaaS) 解決方案,專門針對內部部署或私有雲端部署而設計。安全性修正:* 在 OpenShift Enterprise 的 STI 組建程序中發現一個弱點。未正確限制對 STI 組建的存取,進而允許攻擊者使用 STI 組建存取 Docker 通訊端並提升其權限。(CVE-2016-3738) * 在 OpenShift Enterprise 中發現一個來源驗證弱點。如果將匿名存取授與給特定 pod 的 service/proxy 或 pod/ proxy API,並在查詢參數中提供授權的 access_token,則攻擊者可能會存取儲存在網頁瀏覽器之 localStorage 的 API 認證。(CVE-2016-3703) * 啟用 multi-tenant SDN 並在通常與其他命名空間中的 pod 隔離的命名空間中執行組建時,在 OpenShift Enterprise 中發現一個缺陷。如果在這種環境下執行 s2i 組建,即將建置的容器可以在 pod 上存取應該無法使用的網路資源。(CVE-2016-3708) CVE-2016-3738 問題是由 David Eads (Red Hat) 所發現的;CVE-2016-3703 問題是由 Jordan Liggitt (Red Hat) 所發現的;而 CVE-2016-3708 問題則是由 Ben Parees (Red Hat) 所發現的。此更新包含下列影像:openshift3/ose:v3.2.0.44-2 openshift3/ose-deployer:v3.2.0.44-2 openshift3/ose-docker-builder:v3.2.0.44-2 openshift3/ose-docker-registry:v3.2.0.44-2 openshift3/ose-f5-router:v3.2.0.44-2 openshift3/ose-haproxy-router:v3.2.0.44-2 openshift3/ose-keepalived-ipfailover:v3.2.0.44-2 openshift3/ose-pod:v3.2.0.44-2 openshift3/ose-recycler:v3.2.0.44-2 openshift3/ose-sti-builder:v3.2.0.44-2 openshift3/jenkins-1-rhel7:1.642-32 openshift3/logging-auth-proxy:3.2.0-4 openshift3/logging-deployment:3.2.0-9 openshift3/logging-elasticsearch:3.2.0-8 openshift3/logging-fluentd:3.2.0-8 openshift3/logging-kibana:3.2.0-4 openshift3/metrics-deployer:3.2.0-6 openshift3/metrics-heapster:3.2.0-6 openshift3/mongodb-24-rhel7:2.4-28 openshift3/mysql-55-rhel7:5.5-26 openshift3/nodejs-010-rhel7:0.10-35 openshift3/node:v3.2.0.44-2 openshift3/openvswitch:v3.2.0.44-2 openshift3/perl-516-rhel7:5.16-38 openshift3/php-55-rhel7:5.5-35 openshift3/postgresql-92-rhel7:9.2-25 openshift3/python-33-rhel7:3.3-35 openshift3/ruby-20-rhel7:2.0-35 aep3_beta/aep:v3.2.0.44-2 aep3_beta/aep-deployer:v3.2.0.44-2 aep3_beta/aep-docker-registry:v3.2.0.44-2 aep3_beta/aep-f5-router:v3.2.0.44-2 aep3_beta/aep-haproxy-router:v3.2.0.44-2 aep3_beta/aep-keepalived-ipfailover:v3.2.0.44-2 aep3_beta/aep-pod:v3.2.0.44-2 aep3_beta/aep-recycler:v3.2.0.44-2 aep3_beta/logging-auth-proxy:3.2.0-4 aep3_beta/logging-deployment:3.2.0-9 aep3_beta/logging-elasticsearch:3.2.0-8 aep3_beta/logging-fluentd:3.2.0-8 aep3_beta/logging-kibana:3.2.0-4 aep3_beta/metrics-deployer:3.2.0-6 aep3_beta/metrics-heapster:3.2.0-6 aep3_beta/node:v3.2.0.44-2 aep3_beta/openvswitch:v3.2.0.44-2解決方案
更新受影響的套件。另請參閱
http://www.nessus.org/u?2f8de46a
https://access.redhat.com/errata/RHSA-2016:1094
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=1306011
https://bugzilla.redhat.com/show_bug.cgi?id=1318974
https://bugzilla.redhat.com/show_bug.cgi?id=1324996
https://bugzilla.redhat.com/show_bug.cgi?id=1329044
https://bugzilla.redhat.com/show_bug.cgi?id=1330233
https://bugzilla.redhat.com/show_bug.cgi?id=1330364
https://bugzilla.redhat.com/show_bug.cgi?id=1331229
Plugin 詳細資訊
嚴重性: High
ID: 119373
檔案名稱: redhat-RHSA-2016-1094.nasl
版本: 1.7
類型: local
代理程式: unix
已發布: 2018/12/4
已更新: 2024/11/4
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
Vendor
Vendor Severity: Important
CVSS v2
風險因素: Medium
基本分數: 6.5
時間性分數: 4.8
媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2016-3738
CVSS v3
風險因素: High
基本分數: 8.8
時間性分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:atomic-openshift-master, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-recycle, p-cpe:/a:redhat:enterprise_linux:tuned-profiles-atomic-openshift-node, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-dockerregistry, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-clients-redistributable, p-cpe:/a:redhat:enterprise_linux:nodejs-node-uuid, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-pod, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-clients, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-node, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-sdn-ovs, p-cpe:/a:redhat:enterprise_linux:atomic-openshift, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-tests
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/5/19
弱點發布日期: 2016/6/8