偵測

RHEL 7 : pacemaker (RHSA-2015:2383)

high Nessus Plugin ID 86987

語系:

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 7 的更新版 pacemaker 套件,可修正一個安全性問題、數個錯誤,並新增兩個增強功能。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Pacemaker Resource Manager 是一組共同運作的技術,可提供資料完整性,並能夠在失敗時維持應用程式可用性。

在 Pacemaker (叢集資源管理員) 於某些情況下評估新增之節點的方式中發現瑕疵。擁有唯讀存取權的使用者可能將其他任何現有的角色指派給自己,然後將權限新增給其他使用者。(CVE-2015-1867)

pacemaker 套件已升級至上游版本 1.1.13,此版本針對先前的版本提供數個錯誤修正與增強功能。(BZ#1234680)

此更新也可修正下列錯誤:

* 當 Pacemaker 叢集包括 Apache 資源,且 Apache 的 mod_systemd 模組啟用時,systemd 會拒絕 Apache 傳送的通知。因此,系統記錄會出現以下格式的大量錯誤:

收到來自 PID XXXX 的通知訊息,但只允許接收 PID YYYY 格式

透過此更新,現在 lrmd 程序在上述情況中會取消設定「NOTIFY_SOCKET」變數,而不會再記錄這些錯誤訊息。(BZ#1150184)

* 之前在將遠端來賓節點指定為 Pacemaker 叢集中的群組資源一部分時,會造成該節點停止運作。此更新可支援 Pacemaker 群組資源中的遠端來賓,因此上述問題不會再發生。(BZ#1168637)

* 當 Pacemaker 叢集中的資源無法開始時,Pacemaker 會更新資源的最後失敗時間並累積失敗計數,無論系統是否使用 'on-fail=ignore' 選項。這在某些情況下,如果發生資源開始失敗,會導致非預期的資源移轉。現在當使用‘on-fail=ignore’時,Pacemaker 不會再更新失敗計數。因此,叢集狀態輸出中會顯示失敗但會適時忽略,因而不會造成資源移轉。(BZ#1200849)

* 之前,Pacemaker 在剖析 pcmk_host_map 字串時,支援分號字元 (‘;’) 作為分隔符號,但在剖析 pcmk_host_list 字串時並不支援。為確保一致的使用者體驗,現在剖析 pcmk_host_list 時也會支援分號做為分隔符號。(BZ#1206232)

此外,此更新還新增了下列增強功能:

* 如果 Pacemaker 位置限制具有‘resource-discovery=never’選項,Pacemaker 現在不會嘗試判定指定服務是否在指定的節點上執行。此外,如果有多個特定資源的位置限制指定‘resource-discovery=exclusive’,Pacemaker 則只會在這些限制的指定節點上嘗試資源搜索。這會讓 Pacemaker 略過作業嘗試可能導致錯誤或其他非預期行為的節點資源搜索。(BZ#1108853)

* 備援電源供應系統的隔離配置程序已經簡化,避免多個節點同時存取叢集資源,進而造成資料損毀。
如需進一步資訊,請參閱《高可用性附加元件參考手冊》中的「隔離:設定 STONITH」一章。(BZ#1206647)

* ‘crm_mon’ 和 ‘pcs_status’ 命令的輸出已經變得更加清楚且精簡,因此在報告具有大量遠端節點和複製資源的 Pacemaker 叢集狀態時更容易讀取。(BZ#1115840)

建議所有 pacemaker 使用者皆升級至這些更新版套件,其可更正這些問題並新增這些增強功能。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/errata/RHSA-2015:2383

https://access.redhat.com/security/cve/cve-2015-1867

Plugin 詳細資訊

嚴重性: High

ID: 86987

檔案名稱: redhat-RHSA-2015-2383.nasl

版本: 2.9

類型: local

代理程式: unix

已發布: 2015/11/20

已更新: 2019/10/24

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

時間分數: 5.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:pacemaker, p-cpe:/a:redhat:enterprise_linux:pacemaker-cli, p-cpe:/a:redhat:enterprise_linux:pacemaker-cluster-libs, p-cpe:/a:redhat:enterprise_linux:pacemaker-cts, p-cpe:/a:redhat:enterprise_linux:pacemaker-debuginfo, p-cpe:/a:redhat:enterprise_linux:pacemaker-doc, p-cpe:/a:redhat:enterprise_linux:pacemaker-libs, p-cpe:/a:redhat:enterprise_linux:pacemaker-libs-devel, p-cpe:/a:redhat:enterprise_linux:pacemaker-nagios-plugins-metadata, p-cpe:/a:redhat:enterprise_linux:pacemaker-remote, cpe:/o:redhat:enterprise_linux:7

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2015/11/19

弱點發布日期: 2015/8/12

參考資訊

CVE: CVE-2015-1867

RHSA: 2015:2383