偵測

Scientific Linux 安全性更新:SL6.x i386/x86_64 上的 pacemaker

medium Nessus Plugin ID 71197

語系:

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

特定情況下,在 Pacemaker 執行驗證和處理遠端連線的方式中發現一個拒絕服務瑕疵。當 Pacemaker 設為允許遠端叢集資訊庫 (CIB) 組態或資源管理,遠端攻擊者可利用此瑕疵造成 Pacemaker 無限期封鎖 (阻止 Pacemaker 服務其他要求)。(CVE-2013-0281)

注意:Scientific Linux 6 中的預設 Pacemaker 組態已停用遠端 CIB 管理功能。

pacemaker 套件已升級至上游版本 1.1.10,相較於先前的版本,此版本可提供數個問題修正與增強功能:

- Pacemaker 不再假定未知的 cman 節點會安全地停止。

- 核心轉儲存檔案現在會將所有結束程式碼轉換成正的 'errno' 值。

- Pacemaker 確定會在過多隔離失敗後返回穩定狀態,且如果宣告為隔離的節點仍在作用中,則會起始關機程序。

- crm_error 工具可新增列示及列印錯誤符號的功能。

- crm_resource 命令允許報告個別資源,並實作 '--ban' 選項,以便將資源從節點中移走。'--clear' 選項已取代 '--unmove' 選項。此外,使用‘--force’選項時,crm_resource 現在支援 OCF 追蹤。

- IPC 機制可還原 haclient 群組成員連線至叢集的功能。

- 原則引擎程序允許在沒有 quorum 的情況下隔離目前成員裡的作用中節點。

- 原則引擎現在會在顯示匿名複製狀態時隱藏無意義的 ID、支援單一節點的維護模式,並在復原的資源起作用前正確處理這些資源。

- 系統現在會檢查 XML 組態檔是否有非列印字元,並在匯出 XML 文字時取代為其八進位對應內容。此外,更多可靠的緩衝區配置策略也已實作,可防止鎖定。

其他錯誤修正:

- 'crm_resource --move' 命令設計用於不可部分完成的資源,且無法處理存在於多個節點上的複本、主機或從屬之資源。
 因此,crm_resource 無法取得足夠資訊來移動資源,且並未執行任何動作。‘--ban’和‘--clear’選項已新增,以便允許系統管理員明確地指示叢集。現在可如預期在叢集中導覽複本、主機和從屬資源。

- 系統上沒有保留 hacluster 使用者帳戶的使用者識別碼 (UID) 或群組識別碼 (GID)。因此,在安裝處理程序期間,系統隨機挑選了 UID 和 GID 值。
 UID 和 GID 號碼 189 已為 hacluster 保留,且現在一致地用於所有安裝。

- 特定叢集使用了不符合 'uname -n' 命令輸出的節點主機名稱。因此,crm_standby 和 crm_failcount 命令使用的預設節點名稱錯誤,且造成叢集忽略系統管理員的更新。現在使用的是 crm_node 命令,而非 helper 指令碼中的 uname 公用程式。
 因此,叢集可如預期般表現。

- 由於錯誤的傳回碼處理,更新的組態無法套用時,不會執行 applycrm_mon 公用程式的內部復原邏輯,進而導致宣告失敗。現在系統會正確檢查傳回程式碼,且現可透明地處理預期錯誤狀態的復原。

- 與 Pacemaker 結合時,cman 的自動解除隔離功能失敗。已新增 Pacemaker 的自動解除隔離支援,且不會再發生非預期的行為。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?eccb4dcc

Plugin 詳細資訊

嚴重性: Medium

ID: 71197

檔案名稱: sl_20131121_pacemaker_on_SL6_x.nasl

版本: 1.6

類型: local

代理程式: unix

已發布: 2013/12/4

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.4

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:fermilab:scientific_linux:clusterlib, p-cpe:/a:fermilab:scientific_linux:clusterlib-devel, p-cpe:/a:fermilab:scientific_linux:cman, p-cpe:/a:fermilab:scientific_linux:corosync, p-cpe:/a:fermilab:scientific_linux:corosynclib, p-cpe:/a:fermilab:scientific_linux:corosynclib-devel, p-cpe:/a:fermilab:scientific_linux:fence-agents, p-cpe:/a:fermilab:scientific_linux:gfs2-utils, p-cpe:/a:fermilab:scientific_linux:libqb, p-cpe:/a:fermilab:scientific_linux:libqb-devel, p-cpe:/a:fermilab:scientific_linux:luci, p-cpe:/a:fermilab:scientific_linux:pacemaker, p-cpe:/a:fermilab:scientific_linux:pacemaker-cli, p-cpe:/a:fermilab:scientific_linux:pacemaker-cluster-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-cts, p-cpe:/a:fermilab:scientific_linux:pacemaker-debuginfo, p-cpe:/a:fermilab:scientific_linux:pacemaker-doc, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs-devel, p-cpe:/a:fermilab:scientific_linux:pacemaker-remote, x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

修補程式發佈日期: 2013/11/21

弱點發布日期: 2013/11/23

參考資訊

CVE: CVE-2013-0281