RHEL 6 / 7:Satellite 6.1.7 (RHSA-2016:0174)

medium Nessus Plugin ID 88746

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Satellite 6.1.7 的更新版 Satellite 6.1 套件,其可修正一個安全性問題、新增一個增強功能,並修正數個錯誤。

Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可針對每個弱點從〈參照〉一節的 CVE 連結中取得常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。

Red Hat Satellite 是一套系統管理解決方案,讓組織無須為其伺服器或其他用戶端系統提供公共網際網路存取,就可以設定和維護系統。可執行預先定義標準作業環境的佈建和組態管理。

在智慧類別參數/變數欄位中發現一個儲存跨網站指令碼 (XSS) 瑕疵。經過驗證的遠端攻擊者可傳送特製的要求給 Satellite,並在儲存的資料中嵌入 HTML 內容,從而在使用者用於瀏覽該資料的網頁中插入惡意內容。(CVE-2015-7518)

此更新也可修正下列錯誤:

* 適用開發人員訂閱的新訂閱規則造成將資訊清單匯入 Satellite 的作業失敗。訂閱引擎已更新,現可正確處理這些新訂閱規則。(BZ#1301812)

* 內容同步作業的負載過重,造成工作顯示為尚未停止。內容引擎已更新,現可處理這些含有不同負載量的訊息。(BZ#1300811)

* /var/lib/pulp/ 目錄中已刪除的目錄造成內容同步期間發生與「遺失符號連結」相關的錯誤。程式碼已更新,現可辨識已刪除的目錄並視需要重新建立。(BZ#1288855、BZ#1276911)

* 網路 API 傳回不包含介面識別碼的 JSON 輸出。此資料對指令碼來說很重要,且已新增至 API 回應。(BZ#1282539)

* 針對 Red Hat Enterprise Virtualization (RHEV) 進行佈建時,未傳送作業系統資訊,造成佈建失敗。RHEV 的介面已更新,解決了此錯誤。
(BZ#1279631)

* 從命令列起始的累加更新因發生「找不到 ID」錯誤而失敗。命令列介面已修補,提供了正確的 ID,因而修正了此錯誤。(BZ#1259057)

* 發佈內容時 Satellite 使用了大量 inode。
內部檔案處理功能已改善,降低了必要的符號連結和 inode 數量。(BZ#1244130)

* 用多個 NIC 在 VMware 上佈建時未正確處理標籤。VMware 的介面已改善,現可正確處理此情形。(BZ#1197156)

* 之前系統未正確報告 Capsule 上失敗的同步工作,且在 Web UI 中顯示為成功。錯誤處理邏輯已改善,現可顯示正確的工作狀態。(BZ#1215838)

* Satellite 同步了擁有相同 epoch、名稱、版本、版次和架構 (ENVRA),但由不同總和檢查碼簽署的重複套件。這造成用戶端嘗試從存放庫安裝的問題。程式碼已更新,現可接受主要詮釋資料且只下載一個套件。(BZ#1132659)

建議 Red Hat Satellite 使用者升級至這些更新版套件,其中包含可更正這些問題的反向移植修補程式,並新增這個增強功能。

解決方案

更新受影響的套件。

另請參閱

https://access.redhat.com/errata/RHSA-2016:0174

https://access.redhat.com/security/cve/cve-2015-7518

Plugin 詳細資訊

嚴重性: Medium

ID: 88746

檔案名稱: redhat-RHSA-2016-0174.nasl

版本: 2.7

類型: local

代理程式: unix

已發布: 2016/2/16

已更新: 2019/10/24

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Low

分數: 3.0

CVSS v2

風險因素: Medium

基本分數: 4.3

媒介: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat6, p-cpe:/a:redhat:enterprise_linux:foreman, p-cpe:/a:redhat:enterprise_linux:foreman-compute, p-cpe:/a:redhat:enterprise_linux:foreman-debug, p-cpe:/a:redhat:enterprise_linux:foreman-gce, p-cpe:/a:redhat:enterprise_linux:foreman-libvirt, p-cpe:/a:redhat:enterprise_linux:foreman-ovirt, p-cpe:/a:redhat:enterprise_linux:foreman-postgresql, p-cpe:/a:redhat:enterprise_linux:foreman-vmware, p-cpe:/a:redhat:enterprise_linux:katello-installer, p-cpe:/a:redhat:enterprise_linux:katello-installer-base, p-cpe:/a:redhat:enterprise_linux:pulp-admin-client, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-child, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-common, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-parent, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-admin-extensions, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-plugins, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-tools, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-admin-extensions, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-handlers, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-plugins, p-cpe:/a:redhat:enterprise_linux:pulp-selinux, p-cpe:/a:redhat:enterprise_linux:pulp-server, p-cpe:/a:redhat:enterprise_linux:python-kombu, p-cpe:/a:redhat:enterprise_linux:python-pulp-agent-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-bindings, p-cpe:/a:redhat:enterprise_linux:python-pulp-client-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-puppet-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-rpm-common, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-fog, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-katello, p-cpe:/a:redhat:enterprise_linux:rubygem-hammer_cli_katello, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

修補程式發佈日期: 2016/2/15

弱點發布日期: 2015/12/17

參考資訊

CVE: CVE-2015-7518

RHSA: 2016:0174