RHEL 7:CFME 5.6.3 (RHSA-2016:2839)
high Nessus Plugin ID 233050
語言:
概要
遠端 Red Hat 主機缺少安全性更新。說明
遠端 Redhat Enterprise Linux 7 主機上安裝的套件受到 RHSA-2016:2839 公告中提及的弱點影響。Red Hat CloudForms Management Engine 提供因應管理虛擬環境挑戰所需的深入見解、控制機制及自動化服務。CloudForms Management Engine 建置在 Ruby on Rails 上,後者是一個適用於 Web 應用程式開發的模型檢視控制器 (MVC) 架構。Action Pack 可實作控制器和檢視元件。
安全性修正:
* 在處理容量和利用率匯入控制檔案的方式中發現程式碼插入缺陷。能夠存取容量和利用率功能,同時經驗證的遠端攻擊者可利用此瑕疵,以執行 CFME 的使用者身分執行任意程式碼。(CVE-2016-5402)
此問題是由 Simon Lukasik (Red Hat) 發現。
其他變更:
此更新亦可修復各種錯誤,並新增數個增強功能。值得注意的變更包括:
Automate 元件的變更:
* 此 CloudForms 版本允許在不指定主機但是驗證叢集的情況下佈建虛擬機器。CloudForms 現在會驗證在 VMware 上佈建時是否選取主機或叢集。(BZ#1378116)
Providers 元件的變更:
* 在舊版 CloudForms 中,嘗試開啟連至執行個體的 VNC 主控台時,CloudForms 無法連線,因為該租用戶的執行個體不存在 - 其已嘗試使用錯誤的租用戶。此更新會在開啟 VNC 主控台時指定租戶,其已解決該問題。
CloudForms 現在能夠成功連線而不會出現錯誤。(BZ#1370207)
Provisioning 元件的變更:
* 在舊版 CloudForms 中,當目標資料中心在多個資料夾下方進行套疊時,複製 VMware 範本會失敗。這是因為如果資料中心在各種不同的資料夾下方進行邏輯套疊,使用者在自動放置 VMware 佈建要求期間就無法找到放置 ID。此修正一律會從主機資料中心查閱資料夾路徑,而非以靜態方式設定已解決問題的可能錯誤預設值。(BZ#1361174)
Replication 元件的變更:
* 在舊版 CloudForms 中,已成功儲存的複製訂閱會發生訂閱驗證失敗。這是由於驗證是由無權存取目前已儲存訂閱密碼的 UI 直接完成。若使用者在初次儲存訂閱時輸入密碼,即可通過驗證,但是在需要從資料庫擷取訂閱時驗證失敗。本次更新已修正在儲存複製訂閱驗證失敗的問題。(BZ#1378554)
弱點元件的變更:
* 在處理容量和利用率匯入控制檔案的方式中發現程式碼插入缺陷。能夠存取容量和利用率功能,同時經驗證的遠端攻擊者可利用此瑕疵,以執行 CFME 的使用者身分執行任意程式碼。(BZ#1357559)
* 在舊版 CloudForms 中,嘗試在子網路/路由器/安全性群組/浮動 IP/網路連接埠中儲存篩選時,會出現例外狀況。這是因為缺少網路資源的路由所造成。此更新會新增網路資源的遺漏路由,同時此問題現已解決。
(BZ#1370573)
* 在舊版 CloudForms 中,無法點選資料儲存區中的 My Filters,且其底下不會顯示任何篩選器。此更新已在資料儲存區中啟用 My Filters,同時此問題現已解決。(BZ#1379727)
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=1346967
https://bugzilla.redhat.com/show_bug.cgi?id=1346969
https://bugzilla.redhat.com/show_bug.cgi?id=1347002
https://bugzilla.redhat.com/show_bug.cgi?id=1349413
https://bugzilla.redhat.com/show_bug.cgi?id=1357559
https://bugzilla.redhat.com/show_bug.cgi?id=1358324
https://bugzilla.redhat.com/show_bug.cgi?id=1361174
https://bugzilla.redhat.com/show_bug.cgi?id=1362632
https://bugzilla.redhat.com/show_bug.cgi?id=1368162
https://bugzilla.redhat.com/show_bug.cgi?id=1368172
https://bugzilla.redhat.com/show_bug.cgi?id=1370207
https://bugzilla.redhat.com/show_bug.cgi?id=1370570
https://bugzilla.redhat.com/show_bug.cgi?id=1370573
https://bugzilla.redhat.com/show_bug.cgi?id=1370576
https://bugzilla.redhat.com/show_bug.cgi?id=1372768
https://bugzilla.redhat.com/show_bug.cgi?id=1375206
https://bugzilla.redhat.com/show_bug.cgi?id=1376145
https://bugzilla.redhat.com/show_bug.cgi?id=1376514
https://bugzilla.redhat.com/show_bug.cgi?id=1376516
https://bugzilla.redhat.com/show_bug.cgi?id=1376519
https://bugzilla.redhat.com/show_bug.cgi?id=1376521
https://bugzilla.redhat.com/show_bug.cgi?id=1376525
https://bugzilla.redhat.com/show_bug.cgi?id=1376526
https://bugzilla.redhat.com/show_bug.cgi?id=1377417
https://bugzilla.redhat.com/show_bug.cgi?id=1377418
https://bugzilla.redhat.com/show_bug.cgi?id=1378116
https://bugzilla.redhat.com/show_bug.cgi?id=1378173
https://bugzilla.redhat.com/show_bug.cgi?id=1378554
https://bugzilla.redhat.com/show_bug.cgi?id=1379692
https://bugzilla.redhat.com/show_bug.cgi?id=1379693
https://bugzilla.redhat.com/show_bug.cgi?id=1379694
https://bugzilla.redhat.com/show_bug.cgi?id=1379697
https://bugzilla.redhat.com/show_bug.cgi?id=1379727
https://bugzilla.redhat.com/show_bug.cgi?id=1379728
https://bugzilla.redhat.com/show_bug.cgi?id=1380107
https://bugzilla.redhat.com/show_bug.cgi?id=1380170
https://bugzilla.redhat.com/show_bug.cgi?id=1381624
https://bugzilla.redhat.com/show_bug.cgi?id=1382072
https://bugzilla.redhat.com/show_bug.cgi?id=1382074
https://bugzilla.redhat.com/show_bug.cgi?id=1382164
https://bugzilla.redhat.com/show_bug.cgi?id=1382406
https://bugzilla.redhat.com/show_bug.cgi?id=1382408
https://bugzilla.redhat.com/show_bug.cgi?id=1382753
https://bugzilla.redhat.com/show_bug.cgi?id=1382819
https://bugzilla.redhat.com/show_bug.cgi?id=1382826
https://bugzilla.redhat.com/show_bug.cgi?id=1382834
https://bugzilla.redhat.com/show_bug.cgi?id=1382835
https://bugzilla.redhat.com/show_bug.cgi?id=1382836
https://bugzilla.redhat.com/show_bug.cgi?id=1382837
https://bugzilla.redhat.com/show_bug.cgi?id=1382846
https://bugzilla.redhat.com/show_bug.cgi?id=1382847
https://bugzilla.redhat.com/show_bug.cgi?id=1383368
https://bugzilla.redhat.com/show_bug.cgi?id=1383466
https://bugzilla.redhat.com/show_bug.cgi?id=1383469
https://bugzilla.redhat.com/show_bug.cgi?id=1383470
https://bugzilla.redhat.com/show_bug.cgi?id=1383497
https://bugzilla.redhat.com/show_bug.cgi?id=1385156
https://bugzilla.redhat.com/show_bug.cgi?id=1385173
https://bugzilla.redhat.com/show_bug.cgi?id=1386792
https://bugzilla.redhat.com/show_bug.cgi?id=1386793
https://bugzilla.redhat.com/show_bug.cgi?id=1386794
https://bugzilla.redhat.com/show_bug.cgi?id=1386797
https://bugzilla.redhat.com/show_bug.cgi?id=1388984
https://bugzilla.redhat.com/show_bug.cgi?id=1389025
https://bugzilla.redhat.com/show_bug.cgi?id=1389760
https://bugzilla.redhat.com/show_bug.cgi?id=1389790
https://bugzilla.redhat.com/show_bug.cgi?id=1390697
https://bugzilla.redhat.com/show_bug.cgi?id=1390698
https://bugzilla.redhat.com/show_bug.cgi?id=1390724
https://bugzilla.redhat.com/show_bug.cgi?id=1391710
https://bugzilla.redhat.com/show_bug.cgi?id=1391721
https://bugzilla.redhat.com/show_bug.cgi?id=1391764
https://bugzilla.redhat.com/show_bug.cgi?id=1391980
https://bugzilla.redhat.com/show_bug.cgi?id=1392561
https://bugzilla.redhat.com/show_bug.cgi?id=1392964
https://bugzilla.redhat.com/show_bug.cgi?id=1393061
https://bugzilla.redhat.com/show_bug.cgi?id=1395305
https://bugzilla.redhat.com/show_bug.cgi?id=1396665
https://bugzilla.redhat.com/show_bug.cgi?id=1397093
https://bugzilla.redhat.com/show_bug.cgi?id=1397095
https://bugzilla.redhat.com/show_bug.cgi?id=1397516
https://bugzilla.redhat.com/show_bug.cgi?id=1399285
Plugin 詳細資訊
嚴重性: High
ID: 233050
檔案名稱: redhat-RHSA-2016-2839.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2025/3/20
已更新: 2025/3/20
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
Vendor
Vendor Severity: Important
CVSS v2
風險因素: High
基本分數: 9
時間性分數: 6.7
媒介: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2016-5402
CVSS v3
風險因素: High
基本分數: 8.8
時間性分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:freeipmi-ipmiseld, p-cpe:/a:redhat:enterprise_linux:freeipmi, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:freeipmi-devel, p-cpe:/a:redhat:enterprise_linux:freeipmi-bmc-watchdog, p-cpe:/a:redhat:enterprise_linux:cfme-appliance, p-cpe:/a:redhat:enterprise_linux:freeipmi-ipmidetectd, p-cpe:/a:redhat:enterprise_linux:cfme-gemset, p-cpe:/a:redhat:enterprise_linux:cfme
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/11/30
弱點發布日期: 2016/11/30
參考資訊
CVE: CVE-2016-5402