RHEL 6:Virtualization Manager (RHSA-2016: 1929)
medium Nessus Plugin ID 93681
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
現已提供適用於 RHEV Manager 3.6 版的 org.ovirt.engine-root 更新。Red Hat 產品安全性團隊已將此更新評等為具有「中等」安全性影響。您可從〈參照〉一節的 CVE 連結中查看每個弱點之常見弱點評分系統 (CVSS) 基本分數,其中包含有關嚴重性評等的詳細資訊。
Red Hat Virtualization Manager 是一種集中式管理平台,可讓系統管理員檢視和管理虛擬機器。Manager 提供完整的功能,包括:搜尋功能、資源管理、即時移轉,以及虛擬基礎結構佈建等等。
這個 Manager 是一種 JBoss Application Server 應用程式,提供多種介面,可讓使用者透過這些介面存取虛擬環境並與之互動,包括:管理入口網站、使用者入口網站,以及具象狀態傳輸 (REST) 應用程式開發介面 (API)。
安全性修正:
* 在 RHEV Manager 中發現一個會將敏感資料寫入引擎設定檔的缺陷。本機攻擊者可惡意利用此缺陷,來檢視加密金鑰和憑證等敏感資訊 (之後可能會被用來竊取密碼等其他敏感資訊)。(CVE-2016-4443)
此問題是由 Simone Tiraboschi (Red Hat) 所發現的。
錯誤修正:
* 套用此更新後,系統會警告使用者在執行引擎設定命令前,先將系統設定為全域維護模式。這是因為如果沒有先設定系統進入全域維護模式就執行引擎設定命令,可能會發生資料損毀。此更新會警告使用者,且如果系統未設為全域維護模式即在託管引擎組態中執行引擎,更新會中止設定作業。(BZ#1359844)
* 之前,透過客體代理程式安裝包含多部執行虛擬機器的叢集相容性更新版本時會造成鎖死,進而導致更新失敗。在某些情況下,這些叢集無法升級至較新的相容性版本。現在已可避免資料庫中的鎖死情況,因此在使用客體代理程式安裝包含多部虛擬機器的叢集時,可成功升級至較新的相容性版本。
(BZ#1369415)
* 之前,若儲存在資料庫中的虛擬機器具有 null CPU 設定檔 id,則編輯該虛擬機器時會造成 NPE。現在可正確處理儲存在資料庫中具有 null CPU 設定檔 id 的虛擬機器,並可順利編輯虛擬機器。(BZ#1373090)
* 設定節能/平均分散式記憶體型平衡 (高或低) 的其中一個臨界值時,會導致非預期結果。例如在節能負載平衡中,有針對超額使用記憶體的主機設定一個臨界值,對於記憶體使用率低的主機則沒有定義臨界值,因此預設值為 0。所有主機皆被視為記憶體使用率低的主機並選為移轉來源,但卻沒有主機被選為移轉目的地。
這個問題現已修正,所以即使記憶體低使用率的主機沒有定義臨界值,預設值會設為 Long.MAX。現在當超額使用記憶體的主機有設定臨界值,而記憶體使用率低的主機未定義臨界值時,只會選定超額使用記憶體的主機作為移轉來源,並以記憶體使用率低的主機作為目的地主機。
(BZ#1359767)
* 之前,最近新增的列印主機上執行虛擬機器數量的記錄,其寫入記錄檔的次數過於頻繁。
現在已減少這些記錄的寫入頻率,只有當主機上執行的虛擬機器數量發生變化時才會列印。(BZ#1367519)
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 93681
檔案名稱: redhat-RHSA-2016-1929.nasl
版本: 2.11
類型: local
代理程式: unix
已發布: 2016/9/23
已更新: 2019/10/24
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Low
基本分數: 2.1
時間分數: 1.6
媒介: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
風險因素: Medium
基本分數: 5.5
時間分數: 4.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:rhevm, p-cpe:/a:redhat:enterprise_linux:rhevm-backend, p-cpe:/a:redhat:enterprise_linux:rhevm-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhevm-extensions-api-impl, p-cpe:/a:redhat:enterprise_linux:rhevm-extensions-api-impl-javadoc, p-cpe:/a:redhat:enterprise_linux:rhevm-lib, p-cpe:/a:redhat:enterprise_linux:rhevm-restapi, p-cpe:/a:redhat:enterprise_linux:rhevm-setup, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-base, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-ovirt-engine, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-ovirt-engine-common, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:rhevm-tools, p-cpe:/a:redhat:enterprise_linux:rhevm-tools-backup, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal-debuginfo, p-cpe:/a:redhat:enterprise_linux:rhevm-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal-debuginfo, p-cpe:/a:redhat:enterprise_linux:rhevm-websocket-proxy, cpe:/o:redhat:enterprise_linux:6
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/9/21
弱點發布日期: 2016/12/14
參考資訊
CVE: CVE-2016-4443
RHSA: 2016:1929