RHEL 6:MRG (RHSA-2013:1170)
medium Nessus Plugin ID 76662
語言:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat Enterprise Linux 6 之 Red Hat Enterprise MRG 2.3 的更新版 mongodb 和 pymongo 套件,可修正兩個安全性問題,並新增一個增強功能。Red Hat 安全性回應團隊已將此更新評等為具有重要安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。
MongoDB 是一種 NoSQL 資料庫。PyMongo 會提供用於處理 MongoDB 的工具。
在 MongoDB 的 run() 函式實作中發現一個瑕疵。能將資料庫查詢傳送至 MongoDB 伺服器的資料庫使用者可利用此瑕疵,使伺服器當機,或可能以 mongodb 使用者的權限,執行任意程式碼。
(CVE-2013-1892)
在 PyMongo 中發現一個 NULL 指標解除參照瑕疵。從 MongoDB 伺服器收到的無效 DBRef 記錄可造成使用 PyMongo 的應用程式損毀。(CVE-2013-2132)
注意:在 Red Hat Enterprise MRG Grid 中,MongoDB 不會由使用者直接存取,僅能由其他 Grid 服務存取,例如 Condor 和 Cumin。
此更新也新增了下列增強功能:
* 之前,MongoDB 設定為接聽所有網路介面上的連線。如果防火牆設定為允許存取 MongoDB 連接埠,這可允許遠端使用者存取資料庫 (在 Red Hat Enterprise Linux 中,預設防火牆組態會封鎖存取)。此更新會將組態變更為預設僅在回送介面上接聽。(BZ#892767)
建議適用於 Red Hat Enterprise Linux 6 的 Red Hat Enterprise MRG 2.3 使用者升級至這些更新版套件,其中包含反向移植修補程式,可解決這些問題並新增這個增強功能。安裝此更新之後,將會自動重新啟動 MongoDB。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/errata/RHSA-2013:1170
Plugin 詳細資訊
嚴重性: Medium
ID: 76662
檔案名稱: redhat-RHSA-2013-1170.nasl
版本: 1.11
類型: local
代理程式: unix
已發布: 2014/7/22
已更新: 2021/1/14
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: High
分數: 7.4
CVSS v2
風險因素: Medium
基本分數: 6
時間性分數: 5
媒介: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:pymongo, p-cpe:/a:redhat:enterprise_linux:mongodb-debuginfo, p-cpe:/a:redhat:enterprise_linux:pymongo-debuginfo, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:mongodb, p-cpe:/a:redhat:enterprise_linux:python-bson, p-cpe:/a:redhat:enterprise_linux:mongodb-server
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2013/8/21
弱點發布日期: 2013/8/15
可惡意利用
Core Impact
Metasploit (MongoDB nativeHelper.apply Remote Code Execution)
參考資訊
CVE: CVE-2013-1892, CVE-2013-2132
RHSA: 2013:1170