RHEL 6:Storage Server (RHSA-2017:0484)

high Nessus Plugin ID 97928

概要

遠端 Red Hat 主機缺少一個或多個安全性更新。

說明

現已提供適用於 Red Hat Enterprise Linux 6 中 Red Hat Gluster Storage 3.2 的更新。Red Hat 產品安全性團隊已將此更新評等為具有中等安全性影響。可從〈參照〉一節的 CVE 連結中取得每個弱點之常見弱點評分系統 (CVSS) 的基本分數,其中包含有關嚴重性評等的詳細資訊。Red Hat Gluster Storage 是種僅限軟體的相應放大儲存解決方案,可提供彈性且可負擔的非結構化資料儲存區。其可統一資料儲存和基礎結構、增加效能並改善可用性及可管理性,克服企業級儲存挑戰。下列套件已升級至更新的上游版本:glusterfs (3.8.4)、redhat-storage-server (3.2.0.3)。(BZ#1362373) 安全性修正:* 據發現,glusterfs-server RPM 套件會把具有可預測名稱的檔案寫入全域可讀取的 /tmp 目錄。本機攻擊者可利用此缺陷,藉由在 glusterfs-server 套件安裝期間修改殼層指令碼,提升其對 root 的權限。(CVE-2015-1795) 此問題是由 Red Hat 產品安全性團隊的 Florian Weimer 所發現。錯誤修正:* 若伺服器 quorum 不再相符,或若伺服器 quorum 已停用,則 brick 仍然維持停止狀態,以確保維護中的 brick 不會誤遭啟動。(BZ#1340995) * 中繼資料快取轉譯器已完成更新,可提高 Red Hat Gluster Storage 讀取小型檔案的效能。(BZ#1427783) * 複本計數增加且無任何可用的複本 brick 時,即不再允許「gluster volume add-brick」命令。(BZ#1404989) * 不論用戶端修復或自行修復程序是否已啟用,核心分裂解決命令都會運作。(BZ#1403840) 增強功能:* Red Hat Gluster Storage 現在為 Samba 和 NFS-Ganesha 提供傳輸層安全性支援。(BZ#1340608, BZ#1371475) * 新的 reset-sync-time 選項可供使用者在必要時,將同步時間屬性重設為零。(BZ#1205162) * 階層處理降級現在最多會在發生高位線外洩事件後 5 秒觸發。管理員可利用 cluster.tier-query-limit 磁碟區參數來指定降級期間,從熱資料庫擷取記錄的數量。(BZ#1361759) * /var/log/glusterfs/etc-glusterfs-glusterd.vol.log 檔案現已命名為 /var/log/glusterfs/glusterd.log。(BZ#1306120) * 有了新命令「gluster volume tier VOLNAME attach/detach」之後,「gluster volume attach-tier/detach-tier」命令已過時。(BZ#1388464) * Red Hat Gluster Storage 不再在 ganesha-ha.conf 檔案中使用 HA_VOL_SERVER 參數。(BZ#1348954) * 現在已可在某一伺服器不可用時,將 volfile 伺服器傳至另一台伺服器。(BZ#1351949) * 現在已可重新使用其他服務不再使用的連接埠。(BZ#1263090) * 重新平衡處理程序的執行緒集區限制現在為動態狀態,且取決於可用的核心數量。(BZ#1352805) * 重新開機時的 brick 驗證作業現在使用 UUID,而非 brick 路徑。(BZ# 1336267) * LOGIN_NAME_MAX 現已作為從屬使用者的長度上限,而非 __POSIX_LOGIN_NAME_MAX,因此字元數上限高達 256 (包括 NULL 位元組)。(BZ#1400365) * 用戶端識別現已包含在記錄訊息中,判斷連線失敗的用戶端變得更為容易。(BZ#1333885)

解決方案

更新受影響的套件。

另請參閱

http://www.nessus.org/u?3a106d44

https://access.redhat.com/errata/RHSA-2017:0484

https://access.redhat.com/security/cve/cve-2015-1795

Plugin 詳細資訊

嚴重性: High

ID: 97928

檔案名稱: redhat-RHSA-2017-0484.nasl

版本: 3.13

類型: local

代理程式: unix

已發布: 2017/3/24

已更新: 2019/10/24

支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

風險資訊

VPR

風險因素: Medium

分數: 5.9

CVSS v2

風險因素: High

基本分數: 7.2

時間分數: 5.3

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

風險因素: High

基本分數: 7.8

時間分數: 6.8

媒介: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

時間媒介: CVSS:3.0/E:U/RL:O/RC:C

弱點資訊

CPE: p-cpe:/a:redhat:enterprise_linux:glusterfs, p-cpe:/a:redhat:enterprise_linux:glusterfs-api, p-cpe:/a:redhat:enterprise_linux:glusterfs-api-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-cli, p-cpe:/a:redhat:enterprise_linux:glusterfs-client-xlators, p-cpe:/a:redhat:enterprise_linux:glusterfs-debuginfo, p-cpe:/a:redhat:enterprise_linux:glusterfs-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-events, p-cpe:/a:redhat:enterprise_linux:glusterfs-fuse, p-cpe:/a:redhat:enterprise_linux:glusterfs-ganesha, p-cpe:/a:redhat:enterprise_linux:glusterfs-geo-replication, p-cpe:/a:redhat:enterprise_linux:glusterfs-libs, p-cpe:/a:redhat:enterprise_linux:glusterfs-rdma, p-cpe:/a:redhat:enterprise_linux:glusterfs-server, p-cpe:/a:redhat:enterprise_linux:python-gluster, p-cpe:/a:redhat:enterprise_linux:redhat-storage-server, cpe:/o:redhat:enterprise_linux:6

必要的 KB 項目: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可輕鬆利用: No known exploits are available

修補程式發佈日期: 2017/3/23

弱點發布日期: 2017/6/27

參考資訊

CVE: CVE-2015-1795

RHSA: 2017:0484