Scientific Linux 安全性更新：SL7.x 上的 virt-who (noarch)

low Nessus Plugin ID 82261

語系：

概要

遠端 Scientific Linux 主機缺少一個安全性更新。

說明

據發現，可能包含 Hypervisor 驗證認證的 /etc/sysconfig/virt-who 組態檔為任何人皆可讀取。本機使用者可能會利用此瑕疵，從此檔案取得驗證認證。(CVE-2014-0189)

virt-who 套件已升級至上游版本 0.11，相較於先前的版本，此版本可提供數個錯誤修正與增強功能。最值得注意的錯誤修正和增強功能如下：

- 遠端 libvirt 支援。

- 使用加密密碼的修正。

- 增加 virt-who 穩定性的錯誤修正和增強功能。

此更新也可修正下列錯誤：

- 在此更新之前，virt-who 代理程式無法讀取 VDSM 程序提供的虛擬來賓清單。
因此，在 VDSM 模式時，virt-who 代理程式無法將有關虛擬來賓的更新傳送給 Subscription Asset Manager (SAM) 和 Satellite。透過此更新，代理程式可在 VDSM 模式中正確讀取來賓清單，並如預期向 SAM 和 Satellite 報告。

- 之前，virt-who 在連線至 Satellite 5 時，會使用不正確的資訊。因此，virt-who 會無法連線至 Satellite 5 伺服器。不正確的參數現已更正，virt-who 可成功連線至 Satellite 5。

- 在此更新之前，virt-who 在解密前，未先解碼密碼的十六進位表示法。因此，解密的密碼與原密碼不符，造成使用密碼的連線嘗試失敗。virt-who 在更新後已可解碼加密的密碼，所以 virt-who 現可如預期使用加密的密碼來處理儲存認證。

此外，此更新還新增了下列增強功能：

- 透過此更新，virt-who 已可讀取來自遠端 libvirt Hypervisor 的來賓清單。