RHEL 6: cfme (RHSA-2015:0028)
high Nessus Plugin ID 234430
語言:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
遠端 Redhat Enterprise Linux 6 主機上安裝的套件受到 RHSA-2015:0028 公告中提及的多個弱點影響。Red Hat CloudForms Management Engine 提供因應管理虛擬環境挑戰所需的深入見解、控制機制及自動化服務。CloudForms Management Engine 建置在 Ruby on Rails 上,後者是一個適用於 Web 應用程式開發的模型檢視控制器 (MVC) 架構。
Action Pack 可實作控制器和檢視元件。
據發現,CloudForms Management Engine 會透過 REST API 洩漏 SQL 篩選器,並未對輸入內容進行逸出處理。經驗證的使用者可利用此缺陷,對 CloudForms Management Engine 資料庫執行 SQL 插入攻擊。(CVE-2014-7814)
據發現,如果未指定 root 密碼,CloudForms Management Engine 自訂範本會針對新建立的影像使用預設的 root 密碼。(CVE-2014-3692)
這些問題是由 Red Hat CloudForms 團隊的 Wolf-Dieter Fink 所發現。
此更新亦可修正數個錯誤,並新增數個增強功能。
這些變更的說明文件可從〈參考資料〉一節中的「技術提示」文件連結中取得。
建議所有 cfme 使用者皆升級至這些更新版套件,其可更正這些問題並新增這些增強功能。
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?c3f621ab
https://bugzilla.redhat.com/show_bug.cgi?id=1145304
https://bugzilla.redhat.com/show_bug.cgi?id=1151258
https://bugzilla.redhat.com/show_bug.cgi?id=1157881
https://bugzilla.redhat.com/show_bug.cgi?id=1161265
https://bugzilla.redhat.com/show_bug.cgi?id=1161761
https://bugzilla.redhat.com/show_bug.cgi?id=1163384
https://bugzilla.redhat.com/show_bug.cgi?id=1163875
https://bugzilla.redhat.com/show_bug.cgi?id=1164034
https://bugzilla.redhat.com/show_bug.cgi?id=1164035
https://bugzilla.redhat.com/show_bug.cgi?id=1164036
https://bugzilla.redhat.com/show_bug.cgi?id=1165305
https://bugzilla.redhat.com/show_bug.cgi?id=1166214
https://bugzilla.redhat.com/show_bug.cgi?id=1166215
https://bugzilla.redhat.com/show_bug.cgi?id=1166286
https://bugzilla.redhat.com/show_bug.cgi?id=1166290
https://bugzilla.redhat.com/show_bug.cgi?id=1168336
https://bugzilla.redhat.com/show_bug.cgi?id=1168384
https://bugzilla.redhat.com/show_bug.cgi?id=1168564
https://bugzilla.redhat.com/show_bug.cgi?id=1170320
https://bugzilla.redhat.com/show_bug.cgi?id=1170682
https://bugzilla.redhat.com/show_bug.cgi?id=1170794
https://bugzilla.redhat.com/show_bug.cgi?id=1171343
https://bugzilla.redhat.com/show_bug.cgi?id=1171346
https://bugzilla.redhat.com/show_bug.cgi?id=1171821
https://bugzilla.redhat.com/show_bug.cgi?id=1171899
https://bugzilla.redhat.com/show_bug.cgi?id=1172491
https://bugzilla.redhat.com/show_bug.cgi?id=1179957
https://bugzilla.redhat.com/show_bug.cgi?id=1179959
Plugin 詳細資訊
嚴重性: High
ID: 234430
檔案名稱: redhat-RHSA-2015-0028.nasl
版本: 1.1
類型: local
代理程式: unix
已發布: 2025/4/15
已更新: 2025/4/15
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
Vendor
Vendor Severity: Important
CVSS v2
風險因素: Critical
基本分數: 10
時間性分數: 7.4
媒介: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2014-3692
CVSS v3
風險因素: High
基本分數: 8.8
時間性分數: 7.7
媒介: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
CVSS 評分資料來源: CVE-2014-0087
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-linux_admin, p-cpe:/a:redhat:enterprise_linux:mingw32-cfme-host, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:cfme-lib, p-cpe:/a:redhat:enterprise_linux:cfme-appliance, p-cpe:/a:redhat:enterprise_linux:cfme, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-fog
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2015/1/14
弱點發布日期: 2015/1/14