偵測

openSUSE 安全性更新:openstack-dashboard (openSUSE-SU-2015:0078-1)

medium Nessus Plugin ID 80842

語系:

概要

遠端 openSUSE 主機缺少安全性更新。

說明

OpenStack Dashboard 已更新,修正了多個錯誤和安全性問題。

完整變更:

- 更新至 horizon-2013.2.5.dev2.g9ee7273 版:

- 修正 Horizon 登入頁面 DOS 攻擊 (bnc#908199、CVE-2014-8124)

- 更新版本至 2013.2.5

- 從全域需求更新

- 釘選 docutils 至 0.9.1

- 將 tox.ini 中的 python 雜湊種子設為 0

- 檢查主機在每個可用性區域中都不是無

- 修正 unordered_list 篩選器的 XSS 問題 (bnc#891815、CVE-2014-3594)

+ 0001-Use-default_project_id-for-v3-users.patch (手動)

- 在測試中,將 UserManager 取代為 None

- 更新測試需求,以修正 sphinx build_doc

- 修正多個跨網站指令碼 (XSS) 弱點 (bnc#885588、CVE-2014-3473、CVE-2014-3474、CVE-2014-3475)

- 修正匯入登入表單的問題

錯誤 869696 - 當 Horizon Dashboard 損毀時會發生系統管理員密碼插入。

- 更新至 horizon-2013.2.4.dev8.g07c097f 版:

- neutron 的 API 的錯誤修正,以傳回正確的目標 ID

- 修正 Rebuild 執行個體中的影像顯示

- 從 Neutron 取得執行個體網路資訊

- 升級穩定/havana 後續版本為 2013.2.4

- 在解除關聯動作時,不釋放 FIP

- 在 Horizon/Orchestration 2013.2.3 中引入逸出 (bnc#871855、CVE-2014-0157)

- 更新至 horizon-2013.2.3.dev8.g3d04c3c 版:

- 減少 novaclient 呼叫數目

- 更新類別時不複製 flavorid

- 允許暫停與擱置的執行個體的快照

- 修正測試以搭配 keystoneclient 0.6.0 運作

- 升級穩定/havana 後續版本為 2013.2.3

+ 使用上游 URL 作為來源 (啟用驗證)

+ 匯入 Havana 2013.2.2 更新的翻譯

- 更新至 2013.2.2.dev29.g96bd650 版:

+ 更新 havana 的 Transifex 資源名稱

+ 修正負載平衡的 Horizon 上的不當登出

- 更新至 2013.2.2.dev25.g6508afd 版:

+ 當停用 cinder 時,停用磁碟區建立

+ 錯誤的工作流程步驟檢查:has_required_fields

+ 擷取 LBaaS/VPNaaS 資源時指定 tenant_id

- 更新至 2013.2.2.dev19.g7a8eadc 版:

+ 賦予 HealthMonitor 正確的顯示名稱

- 更新至 2013.2.2.dev17.gaa55b24 版:

+ 通用 keystone 版本遞補

- 將 settings.py (預設設定) 移至 branding-upstream 子套件:branding 套件可能需要變更某些預設設定。

- 新增 0001-Common-keystone-version-fallback.patch、0001-Use-default_project_id-for-v3-users.patch

- 更新至 2013.2.2.dev15.g2b6dfa7 版:

+ 修正「建立影像」視窗中的說明文字

+ 變更 scrollShift 的計算方式

+ 統一金鑰組名稱處理

- 新增 0001-Give-no-background-color-to-the-pie-charts.patch:
不提供背景色彩至圓形圖。

- 更新至 2013.2.2.dev9.gc6d38a1 版:

+ 傳送錯誤標記至 keystone

- 更新至 2013.2.2.dev7.g2e11482 版:

+ 新增 management_url 以測試 mock client

- 新增 0001-Bad-workflow-steps-check-has_required_fields.patch

- 使 python-horizon 需要 2013.2 版的 python-horizon-branding (而不是 2013.2.xyz 版)。這可以更輕鬆建立非上游 branding;我們已針對其他 branding 子套件執行此作業。

- 更新至 2013.2.2.dev6.g2c1f1f3 版:

+ 新增 BlockDeviceMappingV2 nova 延伸模組的檢查

+ 適當處理沒有電子郵件屬性的使用者

+ 從 oslo 匯入 install_venv

+ 升級穩定/havana 後續版本為 2013.2.2

- 更新至 2013.2.1.dev41.g9668e80 版:

+ 從全域需求更新

- 將所有項目放置在 /srv/www/openstack-dashboard 之下

- 更新至 2013.2.1.dev40.g852e5c8 版:

+ 匯入 Havana 2013.2.1 更新的翻譯

+ 從資源使用頁面刪除統計資料表格

+ 允許 spinner 中的「Working」可被翻譯

+ lbaas/horizon - 新增建立 lb 時的 tcp 通訊協定選擇

+ 修正 LBaaS 中的部分選項欄位為強制的錯誤

+ 修正錯誤,使逸出的 html 不會顯示在磁碟區中斷連結對話方塊中

+ Domain Groups 對話方塊中的 Role 名稱不應翻譯

+ 修正「Update members」widget 的不完整翻譯

+ 修正「已插入檔案路徑位元組」的可翻譯字串

+ 將額外延伸模組檔案新增至 makemessage 命令行

+ 將內容標記新增至 BatchAction 訊息

+ 在自我密碼變更後,將使用者登出

+ 新增 iso8601 模組的記錄組態

+ 確認所有計算計量表都列在下拉式清單中

+ 藉著在顯示來自 Nova 的字串之前,先將字串逸出,來修正錯誤 (bnc#852175、CVE-2013-6858)

- 新增/使用一般 openstack-branding 提供

- 更新至 2013.2.1.dev9.g842ba5f 版:

+ 修正安全性群組範本中的 MS SQL 的預設連接埠

+ 為 instance:<type> 計量表提供缺少的暫留提示

+ 翻譯文字:「子網路」/「子網路詳細資料」

+ 將「Tenant」變更為「Project」

+ 避免捨棄計量資料的精確度

- 像上游一般使用 Django 的 signed_cookies 工作階段後端並中斷 cache_db 的使用

- 不需要再設定 SECRET_KEY,上游也學習它

python-django_openstack_auth 已更新至 1.1.3:

- 多種 i18n 修正

- 登出或變更租戶時撤銷 token

- 以本機方式執行測試,因此將測試套件合併回 main

- 正確構建 HTML 文件並安裝它

- 新增 pt_BR 地區

- 已更新 (版本) 需求

- 新增 django_openstack_auth-hacking-requires.patch:
hacking dep 是無意義的

- 包含測試執行程式

- 新增 -test 子套件

解決方案

更新受影響的 openstack-dashboard 套件。

另請參閱

https://bugzilla.opensuse.org/show_bug.cgi?id=852175

https://bugzilla.opensuse.org/show_bug.cgi?id=869696

https://bugzilla.opensuse.org/show_bug.cgi?id=871855

https://bugzilla.opensuse.org/show_bug.cgi?id=885588

https://bugzilla.opensuse.org/show_bug.cgi?id=891815

https://bugzilla.opensuse.org/show_bug.cgi?id=908199

https://lists.opensuse.org/opensuse-updates/2015-01/msg00040.html

Plugin 詳細資訊

嚴重性: Medium

ID: 80842

檔案名稱: openSUSE-2015-39.nasl

版本: 1.4

類型: local

代理程式: unix

已發布: 2015/1/20

已更新: 2021/1/19

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.8

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

弱點資訊

CPE: p-cpe:/a:novell:opensuse:openstack-dashboard, p-cpe:/a:novell:opensuse:openstack-dashboard-branding-upstream, p-cpe:/a:novell:opensuse:openstack-dashboard-test, p-cpe:/a:novell:opensuse:python-django_openstack_auth, p-cpe:/a:novell:opensuse:python-horizon, p-cpe:/a:novell:opensuse:python-horizon-branding-upstream, cpe:/o:novell:opensuse:13.1

必要的 KB 項目: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

修補程式發佈日期: 2015/1/10

參考資訊

CVE: CVE-2013-6858, CVE-2014-0157, CVE-2014-3473, CVE-2014-3474, CVE-2014-3475, CVE-2014-3594, CVE-2014-8124