偵測

Scientific Linux 安全性更新:SL7.x x86_64 上的 pacemaker

high Nessus Plugin ID 87568

語系:

概要

遠端 Scientific Linux 主機缺少一個或多個安全性更新。

說明

在 Pacemaker (叢集資源管理員) 於某些情況下評估新增之節點的方式中發現瑕疵。擁有唯讀存取權的使用者可能將其他任何現有的角色指派給自己,然後將權限新增給其他使用者。(CVE-2015-1867)

pacemaker 套件已升級至上游版本 1.1.13,此版本針對先前的版本提供數個錯誤修正與增強功能。

此更新也可修正下列錯誤:

- 當 Pacemaker 叢集包括 Apache 資源,且 Apache 的 mod_systemd 模組啟用時,systemd 會拒絕 Apache 傳送的通知。因此,系統記錄會出現以下格式的大量錯誤:

收到來自 PID XXXX 的通知訊息,但只允許接收 PID YYYY 格式

透過此更新,現在 lrmd 程序在上述情況中會取消設定「NOTIFY_SOCKET」變數,而不會再記錄這些錯誤訊息。

- 之前在將遠端來賓節點指定為 Pacemaker 叢集中的群組資源一部分時,會造成該節點停止運作。此更新可支援 Pacemaker 群組資源中的遠端來賓,因此上述問題不會再發生。

- 當 Pacemaker 叢集中的資源無法開始時,Pacemaker 會更新資源的最後失敗時間並累積失敗計數,無論系統是否使用 'on-fail=ignore' 選項。這在某些情況下,如果發生資源開始失敗,會導致非預期的資源移轉。現在當使用‘on-fail=ignore’時,Pacemaker 不會再更新失敗計數。因此,叢集狀態輸出中會顯示失敗但會適時忽略,因而不會造成資源移轉。

- 之前,Pacemaker 在剖析 pcmk_host_map 字串時,會支援分號字元 (‘;’) 做為分隔符號,但在剖析 pcmk_host_list 字串時並不支援。
 為確保一致的使用者體驗,現在剖析 pcmk_host_list 時也會支援分號做為分隔符號。

此外,此更新還新增了下列增強功能:

- 如果 Pacemaker 位置限制具有 'resource-discovery=never' 選項,Pacemaker 現在不會嘗試判定指定服務是否在指定的節點上執行。此外,如果有多個特定資源的位置限制指定 'resource- discovery=exclusive',Pacemaker 則只會在這些限制的指定節點上嘗試資源搜索。這會讓 Pacemaker 略過作業嘗試可能導致錯誤或其他非預期行為的節點資源搜索。

- 備援電源供應系統的隔離配置程序已經簡化,避免多個節點同時存取叢集資源,進而造成資料損毀。如需進一步資訊,請參閱《高可用性附加元件參考手冊》中的「隔離:設定 STONITH」一章。

- 'crm_mon' 和 'pcs_status' 命令的輸出已經修改為更加清楚且精簡,因此在報告具有大量遠端節點和複製資源的 Pacemaker 叢集狀態時能更容易讀取。

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?5cc5618c

Plugin 詳細資訊

嚴重性: High

ID: 87568

檔案名稱: sl_20151119_pacemaker_on_SL7_x.nasl

版本: 2.5

類型: local

代理程式: unix

已發布: 2015/12/22

已更新: 2021/1/14

支援的感應器: Nessus Agent, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.5

媒介: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

弱點資訊

CPE: p-cpe:/a:fermilab:scientific_linux:pacemaker, p-cpe:/a:fermilab:scientific_linux:pacemaker-cli, p-cpe:/a:fermilab:scientific_linux:pacemaker-cluster-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-cts, p-cpe:/a:fermilab:scientific_linux:pacemaker-debuginfo, p-cpe:/a:fermilab:scientific_linux:pacemaker-doc, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs-devel, p-cpe:/a:fermilab:scientific_linux:pacemaker-nagios-plugins-metadata, p-cpe:/a:fermilab:scientific_linux:pacemaker-remote, x-cpe:/o:fermilab:scientific_linux

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

修補程式發佈日期: 2015/11/19

弱點發布日期: 2015/8/12

參考資訊

CVE: CVE-2015-1867