RHEL 6:openstack-nova (RHSA-2014:0112)
high Nessus Plugin ID 234390
語言:
概要
遠端 Red Hat 主機缺少一個或多個 openstack-nova 的安全性更新。說明
遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2014:0112 公告中提及的多個弱點影響。openstack-nova 套件提供 OpenStack Compute (nova),可提供佈建、管理和使用虛擬機器執行個體的服務。
據發現,在 nova.conf 檔案中啟用 qpid_protocol = ssl 並不會導致 nova 使用 SSL 來與 Qpid 通訊。如果未將 Qpid 設定為強制執行 SSL,這可導致透過通訊通道在未加密的情況下傳送敏感資訊。 (CVE-2013-6491)
在 OpenStack Compute 控制磁碟映像大小的方式中發現一個瑕疵。經驗證的遠端使用者可利用惡意壓縮的 qcow2 磁碟映像來消耗大量磁碟空間,進而可能在 OpenStack Compute 節點上造成拒絕服務。 (CVE-2013-4463)
Red Hat 要感謝 OpenStack 專案報告 CVE-2013-4463。上游確認 SuSE 的 Bernhard M. Wiedemann 是此問題的原始報告者。
此更新也可修正下列錯誤:
* 使用 GroupAntiAffinityFilter 時,排程器未篩選群組中的執行個體,如果在開機時指定群組,這可造成執行個體完全無法排程。透過此修正,系統會將群組納入考量,並如預期排程執行個體。 (BZ#1014948)
* 如果使用者之前未建立交換,發布者將會因找不到指定的交換而當機。
這是因為 Qpid 的直接發布者使用了錯誤的交換類型「Direct」所導致。透過此修正,發布者中的交換類型已變更為「直接」。 (BZ#1042055)
* Qpid 消耗執行緒中的未處理錯誤可在無訊息的情況下終止,並將元件與系統的其餘部分隔離。為修正此問題,已透過確保消耗執行緒不會因為未處理的錯誤而停止回應,藉此增強其對錯誤的應變能力。Compute 現會記錄錯誤,並重試消耗執行緒。 (BZ#1050213)
建議所有 openstack-nova 使用者皆升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式。
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
根據 RHSA-2014:0112 中的指南更新 RHEL openstack-nova 套件。另請參閱
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=996766
https://bugzilla.redhat.com/show_bug.cgi?id=1014948
https://bugzilla.redhat.com/show_bug.cgi?id=1023239
https://bugzilla.redhat.com/show_bug.cgi?id=1044562
https://bugzilla.redhat.com/show_bug.cgi?id=1050213
https://bugzilla.redhat.com/show_bug.cgi?id=1059504
Plugin 詳細資訊
嚴重性: High
ID: 234390
檔案名稱: redhat-RHSA-2014-0112.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2025/4/15
已更新: 2025/4/15
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
Vendor
Vendor Severity: Moderate
CVSS v2
風險因素: Medium
基本分數: 4.3
時間性分數: 3.2
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS 評分資料來源: CVE-2013-6491
CVSS v3
風險因素: High
基本分數: 7.5
時間性分數: 6.5
媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2013-4463
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:openstack-nova-common, p-cpe:/a:redhat:enterprise_linux:openstack-nova-compute, p-cpe:/a:redhat:enterprise_linux:openstack-nova-cells, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:openstack-nova-scheduler, p-cpe:/a:redhat:enterprise_linux:openstack-nova-objectstore, p-cpe:/a:redhat:enterprise_linux:openstack-nova, p-cpe:/a:redhat:enterprise_linux:openstack-nova-network, p-cpe:/a:redhat:enterprise_linux:python-nova, p-cpe:/a:redhat:enterprise_linux:openstack-nova-conductor, p-cpe:/a:redhat:enterprise_linux:openstack-nova-api, p-cpe:/a:redhat:enterprise_linux:openstack-nova-console, p-cpe:/a:redhat:enterprise_linux:openstack-nova-cert, p-cpe:/a:redhat:enterprise_linux:openstack-nova-doc
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2014/1/30
弱點發布日期: 2013/10/31
參考資訊
CVE: CVE-2013-4463, CVE-2013-6491
RHSA: 2014:0112