RHEL 7:org.ovirt.engine-root (RHSA-2016: 1967)
low Nessus Plugin ID 93805
語系:
概要
遠端 Red Hat 主機缺少一個或多個安全性更新。說明
適用於 RHEV Engine 4.0 版的 org.ovirt.engine-root 更新現已發佈。Red Hat 產品安全性團隊已將此更新評等為具有「中等」安全性影響。您可從〈參照〉一節的 CVE 連結中查看每個弱點之常見弱點評分系統 (CVSS) 基本分數,其中包含有關嚴重性評等的詳細資訊。
Red Hat Virtualization Manager 是一種集中式管理平台,可讓系統管理員檢視和管理虛擬機器。Manager 提供完整的功能,包括:搜尋功能、資源管理、即時移轉,以及虛擬基礎結構佈建等等。
這個 Manager 是一種 JBoss Application Server 應用程式,提供多種介面,可讓使用者透過這些介面存取虛擬環境並與之互動,包括:管理入口網站、使用者入口網站,以及具象狀態傳輸 (REST) 應用程式開發介面 (API)。
安全性修正:
* 據發現,ovirt-engine-provisiondb 公用程式無法在將用於「--provision*db」選項的驗證詳細資料儲存到記錄檔前正確清理這些資料。這會讓具有讀取權限的攻擊者得以存取這些記錄檔,取得像是密碼之類的敏感資訊。
(CVE-2016-5432)
此問題是由 Yedidyah Bar David (Red Hat) 所發現的。
錯誤修正:
* 之前在檢查 CPU 設定檔的權限時,不會考慮到群組權限。屬於群組成員的使用者無法指定 CPU 設定檔,因此也無法啟動虛擬機器。
這個問題已透過檢查權限時使用 PermissionDao 和正確的 SQL 功能解決,因此現在會將群組權限考慮在內。
(BZ#1371888)
* 設定節能/平均分散式記憶體型平衡 (高或低) 的其中一個臨界值時,會導致非預期結果。例如在節能負載平衡中,有針對超額使用記憶體的主機設定一個臨界值,對於記憶體使用率低的主機則沒有定義臨界值,因此預設值為 0。所有主機皆被視為記憶體使用率低的主機並選為移轉來源,但卻沒有主機被選為移轉目的地。
這個問題現已修正,所以即使記憶體低使用率的主機沒有定義臨界值,預設值會設為 Long.MAX。現在當超額使用記憶體的主機有設定臨界值,而記憶體使用率低的主機未定義臨界值時,只會選定超額使用記憶體的主機作為移轉來源,並以記憶體使用率低的主機作為目的地主機。
(BZ#1354281)
* 此更新確保 VDSM 和 Memory Overcommit Manager (MoM) 一定會使用傳送給 VDSM 服務的服務品質 (QoS) 儲存值。如此一來,QoS 可即時套用在虛擬機器上,所有 MoM 相關的虛擬機器變更唯有在記憶體佔用裝置在虛擬機器上啟用時才會套用。(BZ#1328731)
增強功能:
我們之前有可能會安裝到錯誤的 virtio 驅動程式版本,特別是執行較舊的 Windows 作業系統時更容易發生這個問題。
這時如果特定驅動程式版本與 Windows 版本不相容,有時會造成客體意外終止並出現停止錯誤,也就是出現所謂的「藍白當機畫面」。此更新在驅動程式檔案中加入目標 OS 的版本資訊,讓 Windows 在指向 virtio-win CD 影像的根目錄時,可自動選擇最佳驅動程式。現在已不可能再發生手動安裝不相容驅動程式版本的情況,因為如果嘗試安裝錯誤版本,Windows 會顯示錯誤訊息提醒使用者。(BZ#1328181)
* 發行此版本後,Red Hat Virtualization 現可支援使用 CephFS 作為 POSIX 儲存網域。(BZ#1095615)
解決方案
更新受影響的套件。另請參閱
Plugin 詳細資訊
嚴重性: Low
ID: 93805
檔案名稱: redhat-RHSA-2016-1967.nasl
版本: 2.11
類型: local
代理程式: unix
已發布: 2016/9/30
已更新: 2019/10/24
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
風險資訊
VPR
風險因素: Low
分數: 1.4
CVSS v2
風險因素: Low
基本分數: 2.1
時間分數: 1.6
媒介: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
風險因素: Low
基本分數: 3.3
時間分數: 2.9
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:ovirt-engine, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-backend, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-dbscripts, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-extensions-api-impl, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-extensions-api-impl-javadoc, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-lib, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-restapi, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-base, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-ovirt-engine, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-ovirt-engine-common, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-tools, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-tools-backup, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-userportal, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-userportal-debuginfo, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-webadmin-portal, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-webadmin-portal-debuginfo, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:rhevm, cpe:/o:redhat:enterprise_linux:7
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2016/9/28
弱點發布日期: 2016/10/3
參考資訊
CVE: CVE-2016-5432
RHSA: 2016:1967