RHEL 6:Red Hat Gluster Storage 3.2.0 (RHSA-2017:0484)
high Nessus Plugin ID 97928
語言:
概要
遠端 Red Hat 主機缺少安全性更新。說明
遠端 Redhat Enterprise Linux 6 主機已安裝受到一個弱點影響的套件,如 RHSA-2017:0484 公告中所提及。Red Hat Gluster Storage 是種僅限軟體的相應放大儲存解決方案,可提供彈性且可負擔的非結構化資料儲存區。其可統一資料儲存和基礎結構、增加效能並改善可用性及可管理性,克服企業級儲存挑戰。
下列套件已升級至更新的上游版本:glusterfs (3.8.4)、redhat-storage-server (3.2.0.3)。 (BZ#1362373)
安全性修正:
* 據發現,glusterfs-server RPM 套件會把具有可預測名稱的檔案寫入全域可讀取的 /tmp 目錄。本機攻擊者可利用此缺陷,藉由在 glusterfs-server 套件安裝期間修改殼層指令碼,提升其對 root 的權限。
(CVE-2015-1795)
此問題是由 Red Hat 產品安全性團隊的 Florian Weimer 所發現。
錯誤修正:
* 若伺服器 quorum 不再相符,或若伺服器 quorum 已停用,則 brick 仍然維持停止狀態,以確保維護中的 brick 不會誤遭啟動。(BZ#1340995)
* 中繼資料快取轉譯器已完成更新,可提高 Red Hat Gluster Storage 讀取小型檔案的效能。(BZ#1427783)
* 複本計數增加且無任何可用的複本 brick 時,即不再允許「gluster volume add-brick」命令。(BZ#1404989)
* 不論用戶端修復或自行修復程序是否已啟用,核心分裂解決命令都會運作。(BZ#1403840)
增強功能:
* Red Hat Gluster Storage 現在為 Samba 和 NFS-Ganesha 提供傳輸層安全性支援。
(BZ#1340608、BZ#1371475)
* 新的 reset-sync-time 選項可供使用者在必要時,將同步時間屬性重設為零。
(BZ#1205162)
* 階層處理降級現在最多會在發生高位線外洩事件後 5 秒觸發。管理員可利用 cluster.tier-query-limit 磁碟區參數來指定降級期間,從熱資料庫擷取記錄的數量。(BZ#1361759)
* /var/log/glusterfs/etc-glusterfs-glusterd.vol.log 檔案現已命名為 /var/log/glusterfs/glusterd.log。
(BZ#1306120)
* 有了新命令「gluster volume tier VOLNAME attach/detach」之後,「gluster volume attach-tier/detach-tier」命令已過時。(BZ#1388464)
* Red Hat Gluster Storage 不再在 ganesha-ha.conf 檔案中使用 HA_VOL_SERVER 參數。
(BZ#1348954)
* 現在已可在某一伺服器不可用時,將 volfile 伺服器傳至另一台伺服器。(BZ#1351949)
* 現在已可重新使用其他服務不再使用的連接埠。(BZ#1263090)
* 重新平衡處理程序的執行緒集區限制現在為動態狀態,且取決於可用的核心數量。(BZ#1352805)
* 重新開機時的 brick 驗證作業現在使用 UUID,而非 brick 路徑。(BZ#1336267)
* LOGIN_NAME_MAX 現已作為從屬使用者的長度上限,而非 __POSIX_LOGIN_NAME_MAX,因此字元數上限高達 256 (包括 NULL 位元組)。(BZ#1400365)
* 用戶端識別現已包含在記錄訊息中,判斷連線失敗的用戶端變得更為容易。(BZ#1333885)
Tenable 已直接從 Red Hat Enterprise Linux 安全公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的套件。另請參閱
http://www.nessus.org/u?b5a22bf1
http://www.nessus.org/u?f05653c3
https://access.redhat.com/errata/RHSA-2017:0484
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1200927
https://bugzilla.redhat.com/show_bug.cgi?id=1362373
https://bugzilla.redhat.com/show_bug.cgi?id=1375059
https://bugzilla.redhat.com/show_bug.cgi?id=1382319
https://bugzilla.redhat.com/show_bug.cgi?id=1403587
https://bugzilla.redhat.com/show_bug.cgi?id=1403919
https://bugzilla.redhat.com/show_bug.cgi?id=1404551
https://bugzilla.redhat.com/show_bug.cgi?id=1424944
Plugin 詳細資訊
嚴重性: High
ID: 97928
檔案名稱: redhat-RHSA-2017-0484.nasl
版本: 3.14
類型: local
代理程式: unix
已發布: 2017/3/24
已更新: 2025/4/15
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
風險資訊
VPR
風險因素: Medium
分數: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
風險因素: High
基本分數: 7.2
時間性分數: 5.3
媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C
CVSS 評分資料來源: CVE-2015-1795
CVSS v3
風險因素: High
基本分數: 7.8
時間性分數: 6.8
媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:redhat:enterprise_linux:python-gluster, p-cpe:/a:redhat:enterprise_linux:glusterfs-cli, p-cpe:/a:redhat:enterprise_linux:glusterfs-ganesha, p-cpe:/a:redhat:enterprise_linux:glusterfs-libs, p-cpe:/a:redhat:enterprise_linux:glusterfs-api-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-fuse, p-cpe:/a:redhat:enterprise_linux:glusterfs-rdma, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:redhat-storage-server, p-cpe:/a:redhat:enterprise_linux:glusterfs-api, p-cpe:/a:redhat:enterprise_linux:glusterfs, p-cpe:/a:redhat:enterprise_linux:glusterfs-geo-replication, p-cpe:/a:redhat:enterprise_linux:glusterfs-server, p-cpe:/a:redhat:enterprise_linux:glusterfs-events, p-cpe:/a:redhat:enterprise_linux:glusterfs-client-xlators
必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2017/3/23
弱點發布日期: 2017/6/27
參考資訊
CVE: CVE-2015-1795