RHEL 6:Storage Server (RHSA-2013:1263)
medium Nessus Plugin ID 79289
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 Red Hat Storage Server 2.1 的更新版 Red Hat Storage Console 套件,可修正一個安全性問題、多種錯誤,並新增多個增強功能。Red Hat 安全性回應團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。
Red Hat Storage Console (RHS-C) 是一個功能強大而且簡單的 web 型圖形使用者介面,可用來管理 Red Hat Storage 2.1 環境。此功能是以技術預覽的形式提供,目前在 Red Hat Storage 訂閱服務下不受支援。
如需有關技術預覽的詳細資訊,請參閱下列網頁:
https://access.redhat.com/support/offerings/techpreview/
據發現,RESTEasy 容易遭受 XML 外部實體 (XXE) 攻擊。如果能夠存取 Red Hat Storage Console REST API 的遠端攻擊者提交一個包含外部 XML 實體的要求給 RESTEasy 端點,將會解析該實體,進而允許攻擊者讀取執行應用程式伺服器之使用者可存取的檔案。此瑕疵影響 DOM (文件物件模型) 文件與 JAXB (Java XML 繫結架構) 輸入。
(CVE-2012-0818)
此更新也可修正下列錯誤:
* 如果伺服器上未安裝所需的套件,可能無法將新的伺服器新增至叢集。現在,系統管理員可以將伺服器新增至將自動安裝所需套件 (若遺漏) 的叢集。(BZ#850431)
* 先前 rhs-log-collector 工具未收集 GlusterFS 相關記錄。(BZ#855271)
* 先前 rhsc-setup 無法在已停用模式下具備 SELinux 的系統上成功完成。
(BZ#841342)
* [新增基礎構件] 快顯視窗中的 [新增基礎構件] 按鈕現在放在 [基礎構件目錄] 欄位旁邊,以獲得更佳的 UI 體驗。(BZ#863929)
* 看不到磁碟區的 UUID。現在,新欄位已新增至 [磁碟區] 索引標籤的 [摘要] 子索引標籤中,以顯示 UUID。
(BZ#887806)
* 伺服器重新開機後無法存取 web 主控台。設定機制已修改,以確保在伺服器重新開機後可存取 web 主控台。(BZ#838284)
此更新也新增了下列增強功能:
* 先前,要將現有的儲存叢集匯入至 Red Hat Storage Console 時,會逐一新增主機。現在已新增可讓使用者匯入現有儲存叢集的新功能。新的 [建立叢集] 視窗包含一個可匯入現有儲存叢集的選項。如果輸入其中一個叢集主機的 IP_Address 或主機名稱和密碼,就會顯示一個包含所有叢集主機的清單,而且可以將該清單新增至 Console 中。系統也會匯入叢集所屬的磁碟區。
(BZ#850438)
* 需要有命令行,才能啟用使用 CIFS 的磁碟區。現在,您可以使用 [建立磁碟區] 視窗中的新 [CIFS] 核取方塊,啟用或停用磁碟區的匯出。(BZ#850452)
* 適用於 Red Hat Storage 的新 Red Hat Support 外掛程式是一個技術預覽功能,可針對來自 Red Hat 客戶入口網站的 Red Hat 訂閱服務,提供整合式的無縫存取。安裝此外掛程式的訂閱者可以存取這些功能:
- 建立、管理與更新 Red Hat 支援案例。- 方便地存取獨佔的 Red Hat 知識和解決方案。- 搜尋錯誤碼、訊息等,並從 Red Hat 客戶入口網站檢視相關的知識。
(BZ#999245)
* 新的 [事件 ID] 欄已新增至 [事件] 索引標籤之 [進階檢視] 中的 [事件] 表格,此欄可讓使用者看到 [事件] 索引標籤中的每個事件 ID。(BZ#889942)
* 已新增一個功能,可管理和監控 Console 上的勾點。此功能也會報告勾點中的變更,並透過定期輪詢,檢查新的勾點指令碼。(BZ#850483)
* 已新增 [針對虛擬存放區最佳化] 選項,可將某個磁碟區最佳化,以便將其當做虛擬存放區使用。系統會設定磁碟區上的 ‘virt’ 群組選項,也會設定以下兩個磁碟區選項:
- storage.owner-uid=36 - storage.owner-gid=36
此選項可在建立磁碟區期間使用,也可以用於現有的磁碟區。(BZ#891493、BZ#891491)
建議所有 Red Hat Storage Server 2.1 使用者皆升級至這些更新版套件。
解決方案
更新受影響的套件。另請參閱
https://access.redhat.com/support/offerings/techpreview/
Plugin 詳細資訊
嚴重性: Medium
ID: 79289
檔案名稱: redhat-RHSA-2013-1263.nasl
版本: 1.9
類型: local
代理程式: unix
已發布: 2014/11/17
已更新: 2021/1/14
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5
媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:otopi, p-cpe:/a:redhat:enterprise_linux:otopi-devel, p-cpe:/a:redhat:enterprise_linux:otopi-java, p-cpe:/a:redhat:enterprise_linux:otopi-repolib, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-java, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-repolib, p-cpe:/a:redhat:enterprise_linux:python-daemon, p-cpe:/a:redhat:enterprise_linux:python-kitchen, p-cpe:/a:redhat:enterprise_linux:python-lockfile, p-cpe:/a:redhat:enterprise_linux:python-ply, p-cpe:/a:redhat:enterprise_linux:redhat-access-plugin-storage, p-cpe:/a:redhat:enterprise_linux:rhsc, p-cpe:/a:redhat:enterprise_linux:rhsc-backend, p-cpe:/a:redhat:enterprise_linux:rhsc-cli, p-cpe:/a:redhat:enterprise_linux:rhsc-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhsc-log-collector, p-cpe:/a:redhat:enterprise_linux:rhsc-restapi, p-cpe:/a:redhat:enterprise_linux:rhsc-sdk, p-cpe:/a:redhat:enterprise_linux:rhsc-setup, p-cpe:/a:redhat:enterprise_linux:rhsc-tools, p-cpe:/a:redhat:enterprise_linux:rhsc-webadmin-portal, cpe:/o:redhat:enterprise_linux:6
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
修補程式發佈日期: 2013/9/16
弱點發布日期: 2012/11/23
參考資訊
CVE: CVE-2012-0818
RHSA: 2013:1263