RHEL 6:rhev 3.2.2 - vdsm (RHSA-2013:1155)

critical Nessus Plugin ID 78968

概要

遠端 Red Hat 主機缺少 rhev 的安全性更新 3.2.2 - vdsm。

說明

遠端 Redhat Enterprise Linux 6 主機已安裝受到一個弱點影響的套件,如 RHSA-2013:1155 公告中所提及。

VDSM 是一種管理模組,可在 Red Hat Enterprise Virtualization Hypervisor 或 Red Hat Enterprise Linux 主機上,做為 Red Hat Enterprise Virtualization Manager 代理程式執行。

據發現,透過 RHSA-2013:0886 發佈的 CVE-2013-0167 修正並不完整。有權限的來賓使用者可能利用此瑕疵,使管理伺服器無法使用執行來賓的主機。 (CVE-2013-4236)

此問題是由 Red Hat 的 David Gibson 所發現。

此更新也可修正下列錯誤:

* 之前,移動磁碟失敗會產生「truesize」結束訊息,這樣的資訊不足。現在,移動磁碟失敗會產生更實用的錯誤訊息,其中說明磁碟區已損毀或遺失。
(BZ#985556)

* LVM 篩選器已更新為僅藉由完整的 /dev/mapper 路徑存取實體磁碟區,以便改善效能。這會取代先前掃描所有裝置 (包括實體磁碟區上的邏輯磁碟區) 的行為。 (BZ#983599)

* 記錄收集器現在會從 Hypervisor 收集 /var/log/sanlock.log,以協助除錯 sanlock 錯誤。 (BZ#987042)

* 當 poollist 參數未定義時,dumpStorageTable 會損毀,造成 SOS 報告產生失敗,並出現錯誤「IndexError:清單索引超出範圍」。VDSM 現在會處理此例外狀況,因此記錄收集器可以產生主機 SOS 報告。 (BZ#985069)

* 之前,VDSM 使用 memAvailable 參數來報告主機上的可用記憶體,如果記憶體 overcommitment 正在使用中,則可能傳回負值。現在,新的 memFree 參數會傳回主機上的實際可用記憶體量。 (BZ#982639)

建議所有使用 Red Hat Enterprise Virtualization Manager 管理 Red Hat Enterprise Linux Virtualization 主機的所有使用者皆安裝這些更新版套件,其可修正這些問題。

下一版 rhev-hypervisor6 錯字勘誤表套件將會為 Red Hat Enterprise Virtualization Hypervisor 的使用者提供這些更新版套件。

Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

根據 RHSA-2013:1155中的指南更新 RHEL rhev 3.2.2 - vdsm 套件。

另請參閱

http://www.nessus.org/u?857c3032

https://access.redhat.com/errata/RHSA-2013:1155

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=982639

https://bugzilla.redhat.com/show_bug.cgi?id=983599

https://bugzilla.redhat.com/show_bug.cgi?id=985556

https://bugzilla.redhat.com/show_bug.cgi?id=987042

https://bugzilla.redhat.com/show_bug.cgi?id=996166

https://rhn.redhat.com/errata/RHSA-2013-0886.html

Plugin 詳細資訊

嚴重性: Critical

ID: 78968

檔案名稱: redhat-RHSA-2013-1155.nasl

版本: 1.12

類型: local

代理程式: unix

已發布: 2014/11/8

已更新: 2025/4/15

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

風險因素: Low

基本分數: 2.7

時間性分數: 2

媒介: CVSS2#AV:A/AC:L/Au:S/C:N/I:N/A:P

CVSS 評分資料來源: CVE-2013-4236

CVSS v3

風險因素: Critical

基本分數: 9.8

時間性分數: 8.5

媒介: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:vdsm-hook-vhostmd, p-cpe:/a:redhat:enterprise_linux:vdsm-xmlrpc, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:vdsm-reg, p-cpe:/a:redhat:enterprise_linux:vdsm-cli, p-cpe:/a:redhat:enterprise_linux:vdsm, p-cpe:/a:redhat:enterprise_linux:vdsm-python

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

修補程式發佈日期: 2013/8/21

弱點發布日期: 2013/8/19

參考資訊

CVE: CVE-2013-4236

RHSA: 2013:1155