RHEL 7:OpenShift Container Platform 3.5 (RHSA-2018:1235)

high Nessus Plugin ID 119396

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat OpenShift Container Platform 3.5 的更新。Red Hat 產品安全性團隊已將此更新評等為具有重大安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。Red Hat OpenShift Container Platform 是該公司的雲端運算平台即服務 (PaaS) 解決方案,專門針對內部部署或私有雲端部署而設計。此公告含有該版本的 RPM 套件。請參閱此版本之容器影像的下列公告:https://access.redhat.com/errata/RHBA-2018:1234 安全性修正:* source-to-image:在 tar/tar.go 的 ExtractTarStreamFromTarReader 中發生不當路徑清理 (CVE-2018-1102) 此更新亦修正了下列錯誤:* 影像驗證用於驗證舊的影像物件,因此可能會將無效的影像推送到 etcd。透過此錯誤修正,驗證已變更為驗證新的影像物件,因此不再可能上傳無效的影像物件。(BZ#1559991) * 因為同時寫入快取而可能發生錯誤。此錯誤修正可利用 mutex 保護對快取的寫入。因此,快取安全無虞,可以同時使用。(BZ#1549902) * Fluentd 在無法判斷命名空間和 pod UUID 時,無法正確處理訊息。記錄管線會產生許多訊息,而且有時候會阻擋記錄流向 Elasticsearch。此錯誤修正可檢查缺少的欄位,並在需要時,將記錄設定為孤立。因此,記錄現在會繼續流動,且孤立記錄會在孤立的命名空間結束。(BZ#1520629) * 即使在應用程式不包含儀表板時,還是一律可以看到「將 Donut char 新增至儀表板」按鈕,因此按一下該按鈕不會有任何作用。此錯誤修正可移除該按鈕,因此無法使用應該具備的功能。(BZ#1551503) 此更新也會新增下列增強功能:* 非 ops Elasticsearch 叢集中的 `.operations` 索引對應不再顯示,因為作業索引絕不會存在於非 ops Elasticsearch 叢集中。(BZ#1519709) 如需安全性問題的詳細資料,包括影響、CVSS 分數、確認及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?92e1ac3c

https://access.redhat.com/errata/RHSA-2018:1235

https://access.redhat.com/security/updates/classification/#critical

https://bugzilla.redhat.com/show_bug.cgi?id=1519709

https://bugzilla.redhat.com/show_bug.cgi?id=1520629

https://bugzilla.redhat.com/show_bug.cgi?id=1549902

https://bugzilla.redhat.com/show_bug.cgi?id=1551503

https://bugzilla.redhat.com/show_bug.cgi?id=1554871

https://bugzilla.redhat.com/show_bug.cgi?id=1559669

https://bugzilla.redhat.com/show_bug.cgi?id=1559991

https://bugzilla.redhat.com/show_bug.cgi?id=1562246

Plugin 詳細資訊

嚴重性: High

ID: 119396

檔案名稱: redhat-RHSA-2018-1235.nasl

版本: 1.7

類型: local

代理程式: unix

已發布: 2018/12/4

已更新: 2024/11/5

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: Critical

CVSS v2

風險因素: Medium

基本分數: 6.5

時間分數: 4.8

媒介: CVSS2#AV:N/AC:L/Au:S/C:P/I:P/A:P

CVSS 評分資料來源: CVE-2018-1102

CVSS v3

風險因素: High

基本分數: 8.8

時間分數: 7.7

媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:openshift-ansible-roles, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-docs, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-sdn-ovs, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-playbooks, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-utils, p-cpe:/a:redhat:enterprise_linux:openshift-ansible, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-lookup-plugins, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-callback-plugins, p-cpe:/a:redhat:enterprise_linux:tuned-profiles-atomic-openshift-node, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-excluder, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-clients, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-dockerregistry, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-clients-redistributable, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-docker-excluder, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-filter-plugins, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-master, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-pod, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-node, p-cpe:/a:redhat:enterprise_linux:atomic-openshift, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-tests

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2018/4/30

弱點發布日期: 2018/4/30

參考資訊

CVE: CVE-2018-1102

CWE: 20

RHSA: 2018:1235