說明
OpenStack Dashboard 已更新,修正了多個錯誤和安全性問題。
完整變更:
- 更新至 horizon-2013.2.5.dev2.g9ee7273 版:
- 修正 Horizon 登入頁面 DOS 攻擊 (bnc#908199、CVE-2014-8124)
- 更新版本至 2013.2.5
- 從全域需求更新
- 釘選 docutils 至 0.9.1
- 將 tox.ini 中的 python 雜湊種子設為 0
- 檢查主機在每個可用性區域中都不是無
- 修正 unordered_list 篩選器的 XSS 問題 (bnc#891815、CVE-2014-3594)
+ 0001-Use-default_project_id-for-v3-users.patch (手動)
- 在測試中,將 UserManager 取代為 None
- 更新測試需求,以修正 sphinx build_doc
- 修正多個跨網站指令碼 (XSS) 弱點 (bnc#885588、CVE-2014-3473、CVE-2014-3474、CVE-2014-3475)
- 修正匯入登入表單的問題
錯誤 869696 - 當 Horizon Dashboard 損毀時會發生系統管理員密碼插入。
- 更新至 horizon-2013.2.4.dev8.g07c097f 版:
- neutron 的 API 的錯誤修正,以傳回正確的目標 ID
- 修正 Rebuild 執行個體中的影像顯示
- 從 Neutron 取得執行個體網路資訊
- 升級穩定/havana 後續版本為 2013.2.4
- 在解除關聯動作時,不釋放 FIP
- 在 Horizon/Orchestration 2013.2.3 中引入逸出 (bnc#871855、CVE-2014-0157)
- 更新至 horizon-2013.2.3.dev8.g3d04c3c 版:
- 減少 novaclient 呼叫數目
- 更新類別時不複製 flavorid
- 允許暫停與擱置的執行個體的快照
- 修正測試以搭配 keystoneclient 0.6.0 運作
- 升級穩定/havana 後續版本為 2013.2.3
+ 使用上游 URL 作為來源 (啟用驗證)
+ 匯入 Havana 2013.2.2 更新的翻譯
- 更新至 2013.2.2.dev29.g96bd650 版:
+ 更新 havana 的 Transifex 資源名稱
+ 修正負載平衡的 Horizon 上的不當登出
- 更新至 2013.2.2.dev25.g6508afd 版:
+ 當停用 cinder 時,停用磁碟區建立
+ 錯誤的工作流程步驟檢查:has_required_fields
+ 擷取 LBaaS/VPNaaS 資源時指定 tenant_id
- 更新至 2013.2.2.dev19.g7a8eadc 版:
+ 賦予 HealthMonitor 正確的顯示名稱
- 更新至 2013.2.2.dev17.gaa55b24 版:
+ 通用 keystone 版本遞補
- 將 settings.py (預設設定) 移至 branding-upstream 子套件:branding 套件可能需要變更某些預設設定。
- 新增 0001-Common-keystone-version-fallback.patch、0001-Use-default_project_id-for-v3-users.patch
- 更新至 2013.2.2.dev15.g2b6dfa7 版:
+ 修正「建立影像」視窗中的說明文字
+ 變更 scrollShift 的計算方式
+ 統一金鑰組名稱處理
- 新增 0001-Give-no-background-color-to-the-pie-charts.patch:
不提供背景色彩至圓形圖。
- 更新至 2013.2.2.dev9.gc6d38a1 版:
+ 傳送錯誤標記至 keystone
- 更新至 2013.2.2.dev7.g2e11482 版:
+ 新增 management_url 以測試 mock client
- 新增 0001-Bad-workflow-steps-check-has_required_fields.patch
- 使 python-horizon 需要 2013.2 版的 python-horizon-branding (而不是 2013.2.xyz 版)。這可以更輕鬆建立非上游 branding;我們已針對其他 branding 子套件執行此作業。
- 更新至 2013.2.2.dev6.g2c1f1f3 版:
+ 新增 BlockDeviceMappingV2 nova 延伸模組的檢查
+ 適當處理沒有電子郵件屬性的使用者
+ 從 oslo 匯入 install_venv
+ 升級穩定/havana 後續版本為 2013.2.2
- 更新至 2013.2.1.dev41.g9668e80 版:
+ 從全域需求更新
- 將所有項目放置在 /srv/www/openstack-dashboard 之下
- 更新至 2013.2.1.dev40.g852e5c8 版:
+ 匯入 Havana 2013.2.1 更新的翻譯
+ 從資源使用頁面刪除統計資料表格
+ 允許 spinner 中的「Working」可被翻譯
+ lbaas/horizon - 新增建立 lb 時的 tcp 通訊協定選擇
+ 修正 LBaaS 中的部分選項欄位為強制的錯誤
+ 修正錯誤,使逸出的 html 不會顯示在磁碟區中斷連結對話方塊中
+ Domain Groups 對話方塊中的 Role 名稱不應翻譯
+ 修正「Update members」widget 的不完整翻譯
+ 修正「已插入檔案路徑位元組」的可翻譯字串
+ 將額外延伸模組檔案新增至 makemessage 命令行
+ 將內容標記新增至 BatchAction 訊息
+ 在自我密碼變更後,將使用者登出
+ 新增 iso8601 模組的記錄組態
+ 確認所有計算計量表都列在下拉式清單中
+ 藉著在顯示來自 Nova 的字串之前,先將字串逸出,來修正錯誤 (bnc#852175、CVE-2013-6858)
- 新增/使用一般 openstack-branding 提供
- 更新至 2013.2.1.dev9.g842ba5f 版:
+ 修正安全性群組範本中的 MS SQL 的預設連接埠
+ 為 instance:<type> 計量表提供缺少的暫留提示
+ 翻譯文字:「子網路」/「子網路詳細資料」
+ 將「Tenant」變更為「Project」
+ 避免捨棄計量資料的精確度
- 像上游一般使用 Django 的 signed_cookies 工作階段後端並中斷 cache_db 的使用
- 不需要再設定 SECRET_KEY,上游也學習它
python-django_openstack_auth 已更新至 1.1.3:
- 多種 i18n 修正
- 登出或變更租戶時撤銷 token
- 以本機方式執行測試,因此將測試套件合併回 main
- 正確構建 HTML 文件並安裝它
- 新增 pt_BR 地區
- 已更新 (版本) 需求
- 新增 django_openstack_auth-hacking-requires.patch:
hacking dep 是無意義的
- 包含測試執行程式
- 新增 -test 子套件
解決方案
更新受影響的 openstack-dashboard 套件。
Plugin 詳細資訊
檔案名稱: openSUSE-2015-39.nasl
代理程式: unix
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
弱點資訊
CPE: p-cpe:/a:novell:opensuse:openstack-dashboard, p-cpe:/a:novell:opensuse:openstack-dashboard-branding-upstream, p-cpe:/a:novell:opensuse:openstack-dashboard-test, p-cpe:/a:novell:opensuse:python-django_openstack_auth, p-cpe:/a:novell:opensuse:python-horizon, p-cpe:/a:novell:opensuse:python-horizon-branding-upstream, cpe:/o:novell:opensuse:13.1
必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list