RHEL 6:CloudForms System Engine 1.1.2 更新 (中等) (RHSA-2013:0547)

medium Nessus Plugin ID 210166

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2013:0547 公告中提及的多個弱點影響。

Red Hat CloudForms 是一種內部部署混合雲端基礎架構即服務 (IaaS) 產品,可讓您建立並管理私有和公有雲端。它以受管理、受管控且安全的方式為使用者提供自助式運算資源。CloudForms System Engine 可用於設定新系統、訂閱更新,以及維護分散式環境中的安裝。

據發現,在安裝和組態處理程序期間執行的 /usr/share/katello/script/katello-generate-passphrase 公用程式會對 /etc/katello/secure/passphrase 檔案設定任何人皆可讀取的權限。本機攻擊者可利用此瑕疵取得 Katello 的密碼,從而存取其原本無法存取的資訊。
(CVE-2012-5561)

注意:安裝此更新之後,請確保 /etc/katello/secure/passphrase 檔案是由 root 使用者和群組及模式 0750 權限所擁有。網站也應考慮重新建立 Katello 密碼,因為此問題會將密碼洩漏給本機使用者。

katello-configure 公用程式執行的其中一項工作是建立要安裝在需要連線至 Katello 伺服器的用戶端電腦上的 RPM。據發現,此 RPM 會在用於信任 Katello 伺服器的 pem 檔案 (包含憑證授權單位憑證) 上,設定任何人皆可讀取和寫入的權限。攻擊者可利用此缺陷發動攔截式攻擊,進而允許他們管理 (例如安裝和移除軟體) Katello 用戶端系統。(CVE-2012-6116)

CVE-2012-5561 問題是由 Red Hat Cloud Quality Engineering 團隊的 Aaron Weitekamp 所發現,而 CVE-2012-6116 是由 Red Hat 的 Dominic Cleal 和 James Laska 所發現。

此更新也可修正下列錯誤:

* CloudForms System Engine 命令行工具未正確剖析地區設定,進而造成下列錯誤:

缺少轉譯:de.activerecord.errors.messages.record_invalid

此更新取代了控制器以設定地區。不會再出現轉譯錯誤。 (BZ#896251)

* 部分地區設定未正確逸出特定 UI 內容以建立新角色。這會損毀某些地區設定的「儲存」按鈕。此更新可更正當地語系化 UI 內容的逸出行為。「儲存」按鈕現可用於建立新角色。(BZ#896252)

* 缺少的圖示會阻止使用者刪除最近或已儲存的搜尋。此更新會新增圖示,因此使用者現在可以刪除最近或已儲存的搜尋。
(BZ#896253)

* Candlepin 0.7.8 元件中的效能問題導致訂閱回應能力隨著訂閱 CloudForms System Engine 的系統數量增加而降低。此錯字勘誤表會更新至 Candlepin 0.7.19,其可更正效能問題。(BZ#896261)

* CloudForms System Engine 不會擷取 Extended Update Service (EUS) 權利。這會阻止使用者檢視和啟用 EUS 存放庫。此更新會修正資訊清單上傳和刪除程式碼,進而也更正了擷取權利的行為。System Engine 現在可以擷取 EUS 權利。(BZ#896265)

* 功能表寬度問題造成當地語系化的 UI 無法呈現特定功能表項目。此更新可更正 System Engine UI 的樣式。Web UI 現在可以正確呈現功能表項目。(BZ#903702)

如需有關此版本的進一步資訊,請參閱 CloudForms 1.1.2 版本資訊。版本資訊近期將可從 https://access.redhat.com/knowledge/docs/ 取得

若要升級,請依照 CloudForms 安裝指南第 4.1 節中的升級指示進行。升級 CloudForms System Engine:

https://access.redhat.com/knowledge/docs/en-US/CloudForms/1.1/html/Installation_Guide/index.html

建議 CloudForms System Engine 的使用者升級至這些更新版套件。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/security/updates/classification/#moderate

https://access.redhat.com/knowledge/docs/

http://www.nessus.org/u?b59a1d3b

https://bugzilla.redhat.com/show_bug.cgi?id=807455

https://bugzilla.redhat.com/show_bug.cgi?id=879094

https://bugzilla.redhat.com/show_bug.cgi?id=896251

https://bugzilla.redhat.com/show_bug.cgi?id=896253

https://bugzilla.redhat.com/show_bug.cgi?id=896261

https://bugzilla.redhat.com/show_bug.cgi?id=896265

https://bugzilla.redhat.com/show_bug.cgi?id=903702

https://bugzilla.redhat.com/show_bug.cgi?id=904128

https://bugzilla.redhat.com/show_bug.cgi?id=906207

https://bugzilla.redhat.com/show_bug.cgi?id=907250

http://www.nessus.org/u?81011277

https://access.redhat.com/errata/RHSA-2013:0547

Plugin 詳細資訊

嚴重性: Medium

ID: 210166

檔案名稱: redhat-RHSA-2013-0547.nasl

版本: 1.2

類型: local

代理程式: unix

已發布: 2024/11/4

已更新: 2025/4/15

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.6

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Low

基本分數: 2.1

時間性分數: 1.6

媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N

CVSS 評分資料來源: CVE-2012-6116

CVSS v3

風險因素: Medium

基本分數: 5.5

時間性分數: 4.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

CVSS 評分資料來源: CVE-2012-5561

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:katello-selinux, p-cpe:/a:redhat:enterprise_linux:katello-configure, p-cpe:/a:redhat:enterprise_linux:katello-glue-pulp, p-cpe:/a:redhat:enterprise_linux:katello-all, p-cpe:/a:redhat:enterprise_linux:katello, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:candlepin-devel, p-cpe:/a:redhat:enterprise_linux:katello-common, p-cpe:/a:redhat:enterprise_linux:katello-glue-candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:katello-cli, p-cpe:/a:redhat:enterprise_linux:katello-cli-common, p-cpe:/a:redhat:enterprise_linux:katello-api-docs, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/2/21

弱點發布日期: 2013/2/21

參考資訊

CVE: CVE-2012-5561, CVE-2012-6116

RHSA: 2013:0547