RHEL 7:openstack-packstack and openstack-puppet-modules (RHSA-2015:0789)
critical Nessus Plugin ID 210185
語言:
概要
遠端 Red Hat 主機缺少 openstack-packstack / openstack-puppet-modules 的安全性更新。說明
遠端 Redhat Enterprise Linux 7 主機已安裝受到一個弱點影響的套件,如 RHSA-2015:0789 公告中所提及。PackStack 是一種命令行公用程式,可透過 SSH 連線,在現有伺服器上部署 OpenStack。部署選項可以使用命令行,以互動方式提供,也可以透過含有一組預先設定的 OpenStack 參數值的文字檔案,以非互動方式提供。PackStack 適合概念證明安裝。
PackStack 適合部署概念證明安裝。
據發現,openstack-puppet-modules 套件隨附的 puppet 資訊清單會以已知的預設密碼設定 pcsd 程序。如果未變更此密碼,且攻擊者能夠取得 pcsd 的存取權,則可能會以 root 身分執行 shell 命令。(CVE-2015-1842)
此問題是由 Red Hat 的 Alessandro Vozza 所發現。
此更新也可修正下列錯誤:
* 啟用 OpenStack Networking 時,如果在主機上啟用 Network Manager 服務,Packstack 會顯示警告。(BZ#1117277)
* 與來自 Red Hat Enterprise Linux 7.0 或 7.0.z 的 selinux-policy 套件配對時,對更新版 selinux-policy 的無訊息相依性會造成 openstack-selinux 0.6.23 無法安裝模組。
在某些情況下,這會造成 Identity 和其他 OpenStack 服務收到 'AVC' 拒絕和故障。下列因應措施可讓 OpenStack 服務正常運作:
1) 將 openstack-selinux 保留為 0.6.18-2.el7ost,直到您準備好更新至 Red Hat Enterprise Linux 7.1 為止。屆時,「yum update」即可解決該問題。
2) 從 Red Hat Enterprise Linux 7.1 (selinux-policy-3.13.1-23.el7 版或更新版本) 安裝更新版 selinux-policy 和 selinux-policy-targeted 套件,然後將 openstack-selinux 更新為 0.6.23-1.el7ost 版。
(BZ#1195252)
* 程式碼中的錯字導致使用 OpenStack Networking 的 Sahara 選項一律為 false。如果參數「CONFIG_NEUTRON_INSTALL」設為「y」,Sahara 現在會使用 OpenStack Networking。 (BZ#1199047)
* 在此更新之前,使用者必須在安裝 Packstack 之後,另外安裝 OpenStack Unified Client。Packstack 現在會預設安裝 OpenStack Unified Client。(BZ#1199114)
* 此增強功能會更新 Packstack,以便在偵錯模式下執行安裝時保留暫存目錄。這有助於疑難排解活動。因此,使用 --debug 命令行選項執行 Packstack 時,不會刪除暫存目錄。(BZ#1199565)
* 在此更新之前,部分驗證器並未使用「validate_not_empty」來確保特定參數包含值。因此,無法正確處理數個內部驗證,進而可能導致非預期的錯誤。此更新將驗證器修正為在需要時使用 validate_not_empty,進而使驗證器產生正確的驗證行為。(BZ#11995889)
除了上述問題之外,此更新也可解決錯誤和增強功能,詳情請參閱〈參照〉一節中連結的 Red Hat Enterprise Linux OpenStack Platform 技術提示。
建議所有 openstack-packstack 和 openstack-puppet-modules 使用者皆升級至這些更新版套件,其可更正這些問題。
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
根據 RHSA-2015:0789 中的指引更新 RHEL openstack-packstack / openstack-puppet-modules 套件。另請參閱
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?40d9c706
https://bugzilla.redhat.com/show_bug.cgi?id=1117277
https://bugzilla.redhat.com/show_bug.cgi?id=1123117
https://bugzilla.redhat.com/show_bug.cgi?id=1171744
https://bugzilla.redhat.com/show_bug.cgi?id=1172305
https://bugzilla.redhat.com/show_bug.cgi?id=1173930
https://bugzilla.redhat.com/show_bug.cgi?id=1187343
https://bugzilla.redhat.com/show_bug.cgi?id=1187706
https://bugzilla.redhat.com/show_bug.cgi?id=1193889
https://bugzilla.redhat.com/show_bug.cgi?id=1195252
https://bugzilla.redhat.com/show_bug.cgi?id=1195258
https://bugzilla.redhat.com/show_bug.cgi?id=1199047
https://bugzilla.redhat.com/show_bug.cgi?id=1199072
https://bugzilla.redhat.com/show_bug.cgi?id=1199076
https://bugzilla.redhat.com/show_bug.cgi?id=1199085
https://bugzilla.redhat.com/show_bug.cgi?id=1199114
https://bugzilla.redhat.com/show_bug.cgi?id=1199423
https://bugzilla.redhat.com/show_bug.cgi?id=1199427
https://bugzilla.redhat.com/show_bug.cgi?id=1199519
https://bugzilla.redhat.com/show_bug.cgi?id=1199547
https://bugzilla.redhat.com/show_bug.cgi?id=1199549
https://bugzilla.redhat.com/show_bug.cgi?id=1199562
https://bugzilla.redhat.com/show_bug.cgi?id=1199565
https://bugzilla.redhat.com/show_bug.cgi?id=1199589
https://bugzilla.redhat.com/show_bug.cgi?id=1199677
https://bugzilla.redhat.com/show_bug.cgi?id=1201875
https://bugzilla.redhat.com/show_bug.cgi?id=1202107
https://bugzilla.redhat.com/show_bug.cgi?id=1204482
Plugin 詳細資訊
嚴重性: Critical
ID: 210185
檔案名稱: redhat-RHSA-2015-0789.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2024/11/4
已更新: 2024/11/4
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
Vendor
Vendor Severity: Important
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2015-1842
CVSS v3
風險因素: Critical
基本分數: 9.8
時間性分數: 8.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:openstack-puppet-modules, p-cpe:/a:redhat:enterprise_linux:openstack-packstack-doc, p-cpe:/a:redhat:enterprise_linux:openstack-packstack, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:openstack-packstack-puppet
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/4/7
弱點發布日期: 2015/3/10
參考資訊
CVE: CVE-2015-1842