Scientific Linux 安全性更新：SL6.x i386/x86_64 上的 resource-agents

medium Nessus Plugin ID 61196

語系：

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

resource-agents 套件包含適用於 Pacemaker 和 rgmanager 服務管理員的一組指令碼，介接數個服務，以在高可用性環境中運作。

據發現，特定資源代理程式指令碼將 LD_LIBRARY_PATH 環境變數設定為含有空白路徑元素的不安全值。能誘騙執行這些指令碼的使用者從攻擊者可寫入之目錄執行指令碼的本機使用者，可利用此瑕疵，透過特製的動態程式庫，提升其權限。(CVE-2010-3389)

此更新也可修正下列錯誤：

- 在 cluster.conf 檔案中使用 Sybase 資料庫和 ASEHAagent 資源時，每個 Sybase 安裝都無法執行多個 ASEHAagent。
因此，第二個 ASEHA (具有高可用性選項的 Sybase Adaptive Server Enterprise (ASE)) 代理程式將無法執行。此錯誤已修正，現可執行兩個採用相同 Sybase 安裝的 ASEHA 代理程式。

- 當 central_processing 選項處於使用中時，實作 rgmanager 套件內部功能的 s/lang 指令碼包含在錯誤的套件中。現在安裝 rgmanager 和 resource-agents 套件時，兩者缺一不可，以避免單獨使用時會出現的問題。

- 先前 oracledb.sh 指令碼會使用 'shutdown abort' 命令，第一次嘗試關閉資料庫。透過此更新，oracledb.sh 會先嘗試透過「shutdown immediate」命令執行正常關機，無效後再執行強制關機。

- 先前在擁有共用 IP 資源和 Apache 資源的叢集上設定服務時，所產生的 httpd.conf 檔案在描述共用 IP 位址的行 ('Listen' 行) 中含有一個錯誤。
現在，Apache 資源代理程式可正確產生「Listen」行。

- 如果以 Apache 資源定義高可用性 (HA) 叢集服務，並以兩個字命名，例如 'kickstart httpd'，則該服務絕不會啟動，因為在其逸出的名稱中，找不到包含空格字元的目錄。現在，只要名稱如上所述含有空格，Apache 資源便可正確運作。

- 在 cluster.conf 檔案中使用繼承時，/usr/share/cluster/nfsclient.sh 檔案中的錯誤可防止其正確監控 NFS 匯出。
因此，監控 NFS 匯出至 NFS 用戶端的行為會導致無限迴圈。此錯誤已修正，監控作業現可如預期運作。

- 先前在 PostgreSQL 伺服器無法啟動時，postgres-8 資源代理程式不會偵測到。此錯誤已修正，postgres-8 現可在所述狀況下正常運作。

- 使用 Pacemaker 資源管理員時，如果使用 'monitor' 參數呼叫，則 fs.sh 資源代理程式會報告一個錯誤情形，而且參照的裝置不存在。因此，錯誤情況會導致資源無法啟動。現在，fs.sh 在所述狀況下已可傳回正確的回應程式碼，進而修正此錯誤。

- 先前在搭配 Pacemaker 資源管理員時，多個 RGManager 資源代理程式會傳回不正確的回應程式碼。代理程式已更新，現可正確使用 Pacemaker。

此更新也新增了下列增強功能：

- 透過此更新，使用 netfs.sh 資源代理程式從某個節點移除網路時，現在復原的速度會比之前快。

此外，此更新已將 resource-agents 套件升級至上游版本 3.9.2，其針對舊版提供數個錯誤修正與增強功能。

建議所有 resource-agents 使用者皆升級至此更新版套件，其可更正這些問題並新增這些增強功能。