RHEL 6：rhevm 3.1.2 (RHSA-2013:0211)

medium Nessus Plugin ID 78948

語系：

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供更新版 rhevm 套件，可修正兩個安全性問題和多種錯誤。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數，其中包含有關嚴重性評等的詳細資訊。

Red Hat Enterprise Virtualization Manager 是一種集中式管理平台，可讓系統管理員檢視和管理虛擬機器。Red Hat Enterprise Virtualization Manager 提供完整的功能，包括：搜尋功能、資源管理、即時移轉，以及虛擬基礎結構佈建等等。Manager 是一種 JBoss Application Server 應用程式，提供多種介面，可讓使用者透過這些介面存取虛擬環境並與之互動，包括：管理入口網站、使用者入口網站，以及具象狀態傳輸 (REST) 應用程式開發介面 (API)。

據發現，若使用驗證動作 (「rhevm-manage-domains -action=validate」) 執行網域管理工具，則會將系統管理密碼記錄到任何人皆可讀取的記錄檔中。本機攻擊者可利用此瑕疵取得 Red Hat Enterprise Virtualization Manager 管理的系統控制權。(CVE-2012-6115)

在　MoveDisk 命令檢查目標儲存網域權限的方式中發現一個瑕疵。有權限的使用者 (儲存網域的儲存系統管理員) 可利用此瑕疵，針對他們本來無法存取的其他儲存網域，耗盡所有可用空間。(CVE-2013-0168)

CVE-2012-6115 問題是由 Red Hat 的 Andrew Cathrow 所發現。
CVE-2013-0168 問題是由 Red Hat 的 Ondrej Machacek 所發現。

之前，Red Hat 未正式支援從 Red Hat Enterprise Virtualization Manager 3.0 升級至 3.1 版。此更新修正了多個在升級處理程序中會遇到的已知問題。因此現已支援從 Red Hat Enterprise Virtualization Manager 3.0 升級至 3.1 版。

如需有關升級至 Red Hat Enterprise Virtualization Manager 3.1 的詳細資訊，請參閱《安裝指南》：

https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Virtualization/3.1/html/Installation_Guide/chap-Upgrading_to_Red_Hat_Enterprise_Virtualization_3.1.html

其他提示和考量因素也已發佈至 Red Hat 知識庫以供參閱：

https://access.redhat.com/knowledge/articles/269333

如需此更新中修正的錯誤相關資訊，請參閱技術提示文件：

https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Virtualization/3.1/html/Technical_Notes/chap-RHSA-2013-0211.html

建議所有 Red Hat Enterprise Virtualization Manager 系統管理員皆安裝這些更新版套件，其可修正這些問題。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/documentation/en-US/

https://access.redhat.com/articles/269333

https://access.redhat.com/errata/RHSA-2013:0211

https://access.redhat.com/security/cve/cve-2013-0168

https://access.redhat.com/security/cve/cve-2012-6115

Plugin 詳細資訊

嚴重性: Medium

ID: 78948

檔案名稱: redhat-RHSA-2013-0211.nasl

版本: 1.14

類型: local

代理程式: unix

系列: Red Hat Local Security Checks

已發布: 2014/11/8

已更新: 2021/1/14

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 4.2

CVSS v2

風險因素: Medium

基本分數: 4

時間分數: 3

媒介: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:P

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:rhevm, p-cpe:/a:redhat:enterprise_linux:rhevm-backend, p-cpe:/a:redhat:enterprise_linux:rhevm-config, p-cpe:/a:redhat:enterprise_linux:rhevm-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhevm-genericapi, p-cpe:/a:redhat:enterprise_linux:rhevm-notification-service, p-cpe:/a:redhat:enterprise_linux:rhevm-restapi, p-cpe:/a:redhat:enterprise_linux:rhevm-setup, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-allinone, p-cpe:/a:redhat:enterprise_linux:rhevm-tools-common, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2013/2/4

弱點發布日期: 2013/3/12

參考資訊

CVE: CVE-2012-6115, CVE-2013-0168

BID: 57749, 57750

RHSA: 2013:0211