偵測

MiracleLinux 7pcs-0.9.143-15.el7 (AXSA:2015-718:02)

medium Nessus Plugin ID 289173

語言:

概要

遠端 MiracleLinux 主機缺少安全性更新。

說明

遠端 MiracleLinux 7 主機已安裝一個受到 AXSA:2015-718:02 公告中所提及的弱點影響的套件。

 pcs 是 corosync 和 pacemaker 組態工具。它允許使用者輕鬆檢視、修改和建立以 pacemaker 為基礎的叢集。
 此版本修正的安全性問題
 RackCVE-2015-32251.5.4 之前的版本和 1.6.x 之前的 1.6.2中的 [] lib/rack/utils.rb在與 Ruby on Rails 3.x 和 4.x 及其他產品搭配使用時允許遠端攻擊者透過具有大參數深度的要求。
 增強功能:
 * pcs 資源移動和 pcs 資源禁止命令現會顯示警告訊息闡明命令的行為
 * 用於將 Pacemaker 資源移動至其偏好節點的新命令 已修正錯誤
 * 在此更新之前有一個錯誤,若要移除資源群組中的資源,就會造成與該群組相關的位置、順序和組合限制。此錯誤現已修正,上述限制會保留到該群組沒有剩餘的資源,因此可解決此問題。
 * 之前,使用者在停用資源複製或多重狀態資源後,又再啟用其中的原始資源時,複製或多重狀態資源仍會保持停用狀態。透過此更新,在已停用的複製或多重狀態資源中,再次啟用資源時,已可確實啟用。
 * Web UI 顯示資源屬性清單時有一個錯誤會造成清單在第一個 = 字元遭到截斷。此更新已修正該錯誤,現在 Web UI 可正確顯示資源屬性清單。
 * pcs stonith confirm 命令的文件不清楚。這會導致不正確使用該命令,進而造成資料損毀。透過此更新文件記錄已改善且現在對 pcs stonith confirm 命令進行更清楚的說明。
 * 之前在存有未經驗證節點的情況下建立新叢集、新增節點至現有叢集或是新增叢集至 Web UI 都會失敗並出現節點未經驗證的訊息。
 透過此更新,Web UI 偵測到和驗證有關的問題時,就會視需要顯示對話方塊,以進行節點驗證。
 * Web UI 先前只會顯示原始資源。因而沒有途徑可以為父項資源和子項資源,個別設定屬性、限制及其他內容。此問題現已修正,資源將以樹狀結構顯示,這表示使用者可以檢視所有資源元素,並對其進行個別編輯。
 增強功能:
 * 已新增儀表板,可在 Web UI 中顯示叢集狀態。先前無法在同一個位置檢視所有重要的叢集資訊。現在已在 Web UI 主頁面新增可顯示叢集狀態的儀表板。
 * 透過此更新,pcsd 程序會自動同步叢集中的 pcsd 組態。如此即可從任何節點執行 Web UI,即使某個節點故障,仍可繼續進行管理。
 * Web UI 現已可用於設定使用者和群組在叢集上的權限。這可限制使用者和群組在特定叢集上執行特定作業的存取權。

Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

更新受影響的 pcs 套件。

另請參閱

https://tsn.miraclelinux.com/en/node/6104

Plugin 詳細資訊

嚴重性: Medium

ID: 289173

檔案名稱: miracle_linux_AXSA-2015-718.nasl

版本: 1.1

類型: local

已發布: 2026/1/16

已更新: 2026/1/16

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 1.4

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Medium

基本分數: 5

時間性分數: 3.7

媒介: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 評分資料來源: CVE-2015-3225

CVSS v3

風險因素: Medium

基本分數: 5.3

時間性分數: 4.6

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:pcs

必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/11/24

弱點發布日期: 2015/6/16

參考資訊

CVE: CVE-2015-3225