RHEL 6:Storage Server (RHSA-2013:1263)

medium Nessus Plugin ID 79289

Synopsis

遠端 Red Hat 主機缺少一個或多個安全性更新。

描述

現已提供適用於 Red Hat Storage Server 2.1 的更新版 Red Hat Storage Console 套件,可修正一個安全性問題、多種錯誤,並新增多個增強功能。

Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Red Hat Storage Console (RHS-C) 是一個功能強大而且簡單的 web 型圖形使用者介面,可用來管理 Red Hat Storage 2.1 環境。此功能是以技術預覽的形式提供,目前在 Red Hat Storage 訂閱服務下不受支援。
如需有關技術預覽的詳細資訊,請參閱下列網頁:
https://access.redhat.com/support/offerings/techpreview/

據發現,RESTEasy 容易遭受 XML 外部實體 (XXE) 攻擊。如果能夠存取 Red Hat Storage Console REST API 的遠端攻擊者提交一個包含外部 XML 實體的要求給 RESTEasy 端點,將會解析該實體,進而允許攻擊者讀取執行應用程式伺服器之使用者可存取的檔案。此瑕疵影響 DOM (文件物件模型) 文件與 JAXB (Java XML 繫結架構) 輸入。
(CVE-2012-0818)

此更新也可修正下列錯誤:

* 如果伺服器上未安裝所需的套件,可能無法將新的伺服器新增至叢集。現在,系統管理員可以將伺服器新增至將自動安裝所需套件 (若遺漏) 的叢集。(BZ#850431)

* 先前 rhs-log-collector 工具未收集 GlusterFS 相關記錄。(BZ#855271)

* 先前 rhsc-setup 無法在已停用模式下具備 SELinux 的系統上成功完成。
(BZ#841342)

* [新增基礎構件] 快顯視窗中的 [新增基礎構件] 按鈕現在放在 [基礎構件目錄] 欄位旁邊,以獲得更佳的 UI 體驗。(BZ#863929)

* 看不到磁碟區的 UUID。現在,新欄位已新增至 [磁碟區] 索引標籤的 [摘要] 子索引標籤中,以顯示 UUID。
(BZ#887806)

* 伺服器重新開機後無法存取 web 主控台。設定機制已修改,以確保在伺服器重新開機後可存取 web 主控台。(BZ#838284)

此更新也新增了下列增強功能:

* 先前,要將現有的儲存叢集匯入至 Red Hat Storage Console 時,會逐一新增主機。現在已新增可讓使用者匯入現有儲存叢集的新功能。新的 [建立叢集] 視窗包含一個可匯入現有儲存叢集的選項。如果輸入其中一個叢集主機的 IP_Address 或主機名稱和密碼,就會顯示一個包含所有叢集主機的清單,而且可以將該清單新增至 Console 中。系統也會匯入叢集所屬的磁碟區。
(BZ#850438)

* 需要有命令行,才能啟用使用 CIFS 的磁碟區。現在,您可以使用 [建立磁碟區] 視窗中的新 [CIFS] 核取方塊,啟用或停用磁碟區的匯出。(BZ#850452)

* 適用於 Red Hat Storage 的新 Red Hat Support 外掛程式是一個技術預覽功能,可針對來自 Red Hat 客戶入口網站的 Red Hat 訂閱服務,提供整合式的無縫存取。安裝此外掛程式的訂閱者可以存取這些功能:

- 建立、管理與更新 Red Hat 支援案例。- 方便地存取獨佔的 Red Hat 知識和解決方案。- 搜尋錯誤碼、訊息等,並從 Red Hat 客戶入口網站檢視相關的知識。
(BZ#999245)

* 新的 [事件 ID] 欄已新增至 [事件] 索引標籤之 [進階檢視] 中的 [事件] 表格,此欄可讓使用者看到 [事件] 索引標籤中的每個事件 ID。(BZ#889942)

* 已新增一個功能,可管理和監控 Console 上的勾點。此功能也會報告勾點中的變更,並透過定期輪詢,檢查新的勾點指令碼。(BZ#850483)

* 已新增 [針對虛擬存放區最佳化] 選項,可將某個磁碟區最佳化,以便將其當做虛擬存放區使用。系統會設定磁碟區上的 ‘virt’ 群組選項,也會設定以下兩個磁碟區選項:

- storage.owner-uid=36 - storage.owner-gid=36

此選項可在建立磁碟區期間使用,也可以用於現有的磁碟區。(BZ#891493、BZ#891491)

建議所有 Red Hat Storage Server 2.1 使用者皆升級至這些更新版套件。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/support/offerings/techpreview/

https://access.redhat.com/errata/RHSA-2013:1263

https://access.redhat.com/security/cve/cve-2012-0818

Plugin 詳細資訊

嚴重性: Medium

ID: 79289

檔案名稱: redhat-RHSA-2013-1263.nasl

版本: 1.9

類型: local

代理程式: unix

已發布: 2014/11/17

已更新: 2021/1/14

支持的傳感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

風險資訊

VPR

風險因素: Low

分數: 3.6

CVSS v2

風險因素: Medium

基本分數: 5

媒介: AV:N/AC:L/Au:N/C:P/I:N/A:N

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:otopi, p-cpe:/a:redhat:enterprise_linux:otopi-devel, p-cpe:/a:redhat:enterprise_linux:otopi-java, p-cpe:/a:redhat:enterprise_linux:otopi-repolib, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-java, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-repolib, p-cpe:/a:redhat:enterprise_linux:python-daemon, p-cpe:/a:redhat:enterprise_linux:python-kitchen, p-cpe:/a:redhat:enterprise_linux:python-lockfile, p-cpe:/a:redhat:enterprise_linux:python-ply, p-cpe:/a:redhat:enterprise_linux:redhat-access-plugin-storage, p-cpe:/a:redhat:enterprise_linux:rhsc, p-cpe:/a:redhat:enterprise_linux:rhsc-backend, p-cpe:/a:redhat:enterprise_linux:rhsc-cli, p-cpe:/a:redhat:enterprise_linux:rhsc-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhsc-log-collector, p-cpe:/a:redhat:enterprise_linux:rhsc-restapi, p-cpe:/a:redhat:enterprise_linux:rhsc-sdk, p-cpe:/a:redhat:enterprise_linux:rhsc-setup, p-cpe:/a:redhat:enterprise_linux:rhsc-tools, p-cpe:/a:redhat:enterprise_linux:rhsc-webadmin-portal, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

修補程式發佈日期: 2013/9/16

弱點發布日期: 2012/11/23

參考資訊

CVE: CVE-2012-0818

RHSA: 2013:1263