RHEL 7:heketi (RHSA-2019:3255)
critical Nessus Plugin ID 130417
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 OpenShift Container Storage 3.11 Batch 4 Update,且已修正一個安全性問題、多個錯誤並新增多項增強功能的已更新 heketi 套件。Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。Heketi 提供的 RESTful 管理介面可用於管理 GlusterFS 磁碟區的生命週期。使用 Heketi 後,如 OpenStack Manila、Kubernetes 和 OpenShift 的雲端服務就可動態佈建具有任何受支援耐用性類型的 GlusterFS 磁碟區。Heketi 可自動判斷叢集間的 brick 位置,確保在不同的故障網域間放置 brick 及其複本。Heketi 也支援任意數量的 GlusterFS 叢集,允許雲端服務提供網路檔案儲存區,而又不限於單一 GlusterFS 叢集。下列套件已升級至更新的上游版本:heketi (9.0.0)。(BZ#1710080) 安全性修正:* heketi:heketi 可使用不安全的預設值安裝 (CVE-2019-3899) 如需安全性問題的詳細資料,包括影響、CVSS 分數、致謝及其他相關資訊,請參閱〈參照〉一節列出的 CVE 頁面。錯誤修正:* 之前,使用者常不小心用不安全性方式設定 Heketi,這會提高未經授權使用者對 Heketi 管理的儲存區進行變更的風險。預設設定現已變更為使用者需要設定驗證,此舉讓使用者更難以在無意間停用驗證。(BZ#1701838) * 之前,Heketi 在 OpenShift/Kubernetes pod 內執行命令時,系統會在未指定逾時的情況下執行命令。因此,某些命令從未傳回,這與 SSH 執行程式不同,SSH 執行程式一律會執行逾時的命令。在此更新中,在 gluster 容器中執行的命令已指定逾時。不論使用的是哪一種連線類型,逾時值皆相同。(BZ# 1636912) * 之前,若 Heketi 管理多個叢集且未能在任一叢集上建立磁碟區,Heketi 會傳回一般性的「無空間」錯誤訊息。此更新已改善 heketi 管理多個 gluster 叢集時產生的錯誤訊息。Heketi 現在會在叢集沒有節點或沒有任何節點有可用裝置時顯示特定錯誤,而且也會針對各個叢集的錯誤提出報告:在叢集錯誤前置叢集 ID。(BZ#1577803) * 之前,若同時由伺服器發出作業清理的要求,伺服器會嘗試針對同一項作業初始化清理作業兩次。這會導致伺服器發生錯誤。完成此更新後,若同時發出兩個作業清理要求,伺服器不再發生錯誤。(BZ#1702162) 增強功能:* 使用 heketi 將節點移除或新增到 gluster 信任的儲存集區時,現有的端點未自動更新。完成此更新後,若要在新增/移除節點後更新端點,使用者現可執行下列命令:1. heketi-cli volume endpoint patch 2. oc patch ep -p (BZ#1660681) * 完成此更新後,即使裝置的路徑有所變更,Heketi 還是會追蹤與磁碟裝置有關的其他中繼資料。已更新某些命令的輸出,以反映其他中繼資料。(BZ#1609553) 建議 Heketi 使用者升級至這些更新版套件,其可新增這些增強功能並修正這些錯誤。解決方案
請更新受影響的 heketi、heketi-client 和/或 python-heketi 套件。另請參閱
http://www.nessus.org/u?c0b4fff9
https://access.redhat.com/errata/RHSA-2019:3255
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1577803
https://bugzilla.redhat.com/show_bug.cgi?id=1609553
https://bugzilla.redhat.com/show_bug.cgi?id=1636912
https://bugzilla.redhat.com/show_bug.cgi?id=1660681
https://bugzilla.redhat.com/show_bug.cgi?id=1701091
https://bugzilla.redhat.com/show_bug.cgi?id=1702162
https://bugzilla.redhat.com/show_bug.cgi?id=1710080
https://bugzilla.redhat.com/show_bug.cgi?id=1710996
Plugin 詳細資訊
嚴重性: Critical
ID: 130417
檔案名稱: redhat-RHSA-2019-3255.nasl
版本: 1.4
類型: local
代理程式: unix
已發布: 2019/10/31
已更新: 2024/4/27
支援的感應器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
CVSS v2
風險因素: High
基本分數: 7.5
時間分數: 5.5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 評分資料來源: CVE-2019-3899
CVSS v3
風險因素: Critical
基本分數: 9.8
時間分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:heketi, p-cpe:/a:redhat:enterprise_linux:heketi-client, p-cpe:/a:redhat:enterprise_linux:python-heketi, cpe:/o:redhat:enterprise_linux:7
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2019/10/30
弱點發布日期: 2019/4/22
參考資訊
CVE: CVE-2019-3899