RHEL 6:CloudForms System Engine 1.1.2 更新 (中等) (RHSA-2013:0547)
medium Nessus Plugin ID 210166
語言:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2013:0547 公告中提及的多個弱點影響。Red Hat CloudForms 是一種內部部署混合雲端基礎架構即服務 (IaaS) 產品,可讓您建立並管理私有和公有雲端。它以受管理、受管控且安全的方式為使用者提供自助式運算資源。CloudForms System Engine 可用於設定新系統、訂閱更新,以及維護分散式環境中的安裝。
據發現,在安裝和組態處理程序期間執行的 /usr/share/katello/script/katello-generate-passphrase 公用程式會對 /etc/katello/secure/passphrase 檔案設定任何人皆可讀取的權限。本機攻擊者可利用此瑕疵取得 Katello 的密碼,從而存取其原本無法存取的資訊。
(CVE-2012-5561)
注意:安裝此更新之後,請確保 /etc/katello/secure/passphrase 檔案是由 root 使用者和群組及模式 0750 權限所擁有。網站也應考慮重新建立 Katello 密碼,因為此問題會將密碼洩漏給本機使用者。
katello-configure 公用程式執行的其中一項工作是建立要安裝在需要連線至 Katello 伺服器的用戶端電腦上的 RPM。據發現,此 RPM 會在用於信任 Katello 伺服器的 pem 檔案 (包含憑證授權單位憑證) 上,設定任何人皆可讀取和寫入的權限。攻擊者可利用此缺陷發動攔截式攻擊,進而允許他們管理 (例如安裝和移除軟體) Katello 用戶端系統。(CVE-2012-6116)
CVE-2012-5561 問題是由 Red Hat Cloud Quality Engineering 團隊的 Aaron Weitekamp 所發現,而 CVE-2012-6116 是由 Red Hat 的 Dominic Cleal 和 James Laska 所發現。
此更新也可修正下列錯誤:
* CloudForms System Engine 命令行工具未正確剖析地區設定,進而造成下列錯誤:
缺少轉譯:de.activerecord.errors.messages.record_invalid
此更新取代了控制器以設定地區。不會再出現轉譯錯誤。 (BZ#896251)
* 部分地區設定未正確逸出特定 UI 內容以建立新角色。這會損毀某些地區設定的「儲存」按鈕。此更新可更正當地語系化 UI 內容的逸出行為。「儲存」按鈕現可用於建立新角色。(BZ#896252)
* 缺少的圖示會阻止使用者刪除最近或已儲存的搜尋。此更新會新增圖示,因此使用者現在可以刪除最近或已儲存的搜尋。
(BZ#896253)
* Candlepin 0.7.8 元件中的效能問題導致訂閱回應能力隨著訂閱 CloudForms System Engine 的系統數量增加而降低。此錯字勘誤表會更新至 Candlepin 0.7.19,其可更正效能問題。(BZ#896261)
* CloudForms System Engine 不會擷取 Extended Update Service (EUS) 權利。這會阻止使用者檢視和啟用 EUS 存放庫。此更新會修正資訊清單上傳和刪除程式碼,進而也更正了擷取權利的行為。System Engine 現在可以擷取 EUS 權利。(BZ#896265)
* 功能表寬度問題造成當地語系化的 UI 無法呈現特定功能表項目。此更新可更正 System Engine UI 的樣式。Web UI 現在可以正確呈現功能表項目。(BZ#903702)
如需有關此版本的進一步資訊,請參閱 CloudForms 1.1.2 版本資訊。版本資訊近期將可從 https://access.redhat.com/knowledge/docs/ 取得
若要升級,請依照 CloudForms 安裝指南第 4.1 節中的升級指示進行。升級 CloudForms System Engine:
https://access.redhat.com/knowledge/docs/en-US/CloudForms/1.1/html/Installation_Guide/index.html
建議 CloudForms System Engine 的使用者升級至這些更新版套件。
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/knowledge/docs/
http://www.nessus.org/u?b59a1d3b
https://bugzilla.redhat.com/show_bug.cgi?id=807455
https://bugzilla.redhat.com/show_bug.cgi?id=879094
https://bugzilla.redhat.com/show_bug.cgi?id=896251
https://bugzilla.redhat.com/show_bug.cgi?id=896253
https://bugzilla.redhat.com/show_bug.cgi?id=896261
https://bugzilla.redhat.com/show_bug.cgi?id=896265
https://bugzilla.redhat.com/show_bug.cgi?id=903702
https://bugzilla.redhat.com/show_bug.cgi?id=904128
https://bugzilla.redhat.com/show_bug.cgi?id=906207
https://bugzilla.redhat.com/show_bug.cgi?id=907250
Plugin 詳細資訊
嚴重性: Medium
ID: 210166
檔案名稱: redhat-RHSA-2013-0547.nasl
版本: 1.2
類型: local
代理程式: unix
已發布: 2024/11/4
已更新: 2025/4/15
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
Vendor
Vendor Severity: Moderate
CVSS v2
風險因素: Low
基本分數: 2.1
時間性分數: 1.6
媒介: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N
CVSS 評分資料來源: CVE-2012-6116
CVSS v3
風險因素: Medium
基本分數: 5.5
時間性分數: 4.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2012-5561
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:katello-selinux, p-cpe:/a:redhat:enterprise_linux:katello-configure, p-cpe:/a:redhat:enterprise_linux:katello-glue-pulp, p-cpe:/a:redhat:enterprise_linux:katello-all, p-cpe:/a:redhat:enterprise_linux:katello, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:candlepin-devel, p-cpe:/a:redhat:enterprise_linux:katello-common, p-cpe:/a:redhat:enterprise_linux:katello-glue-candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:katello-cli, p-cpe:/a:redhat:enterprise_linux:katello-cli-common, p-cpe:/a:redhat:enterprise_linux:katello-api-docs, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat6
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2013/2/21
弱點發布日期: 2013/2/21
參考資訊
CVE: CVE-2012-5561, CVE-2012-6116
RHSA: 2013:0547