検出

SUSE SLES11セキュリティ更新プログラム:Salt(SUSE-SU-2017:1581-1)

high Nessus プラグイン ID 100907

Language:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

このsaltの更新は、バージョン2016.11.4を提供し、さまざまな修正や改善が行われます:

 - アップグレード中にクラッシュが発生した場合にRHEL6とSLES11システム(sysV)でsalt-minionを再起動するためのsalt-minionウォッチドッグの追加。

 - フォーマットエラーを修正します。(bsc#1043111)

 - マスターキャッシュディレクトリ全体の所有権を修正します。
 (bsc#1035914)

 - 明示的に推奨されているサードパーティランタイムパッケージを無効にします。(bsc#1040886)

 - salt-ssh一時ファイルの安全でないパーミッションを修正します。
 (bsc#1035912、CVE-2017-8109)

 - Salt APIを介してSalt SSHのカスタムロースターを無効にします。
 (bsc#1011800、CVE-2017-5200)

 - Orchestrateとバッチから偽のエラー情報が返されないようにします。

 - スリープ呼び出しを削除することでcherrypyを高速化します。

 - SUSE上のos_familyグレインを修正します。 (bsc#1038855)

 - SUSEシステム上の言語の設定を修正します。(bsc#1038855)

 - SUSE固有のsalt-api.serviceを使用します。(bsc#1039370)

 - 「127」としてのミニオンIDのホスト名の使用を修正します。

 - タイムゾーンのコアグレイン定数を修正します。(bsc#1032931)

 - 新しいpkg.list_downloadedに関するマイナーな修正。

 - Yumモジュール用のすべてのタイプのアドバイザリパッチの列挙。

 - Python 2.6の長さが0のエラーを阻止します。

 - バックポート後のzypperテストエラーを修正します。

 - Raetプロトコルがサポートされなくなりました。(bsc#1020831)

 - 新しいホームへのSSHデータの移動を修正します。(bsc#1027722)

 - /var/log/salt/minionのlogrotateを修正します。(bsc#1030009)

 - master_tops拡張の結果が相互に上書きされる問題を修正します。(bsc#1030073)

 - kwargsを介して「timeout」と「gather_job_timeout」を設定できるようにします。

 - 「manage.up」と「manage.status」のカスタムタイムアウトを設定できるようにします。

 - 比較にsaltのordereddictを使用します。

 - salt-proxy用のスクリプトを修正します。

 - openscapモジュールを追加します。

 - File.get_managed回帰の修正。

 - 非表示のキーワードが含まれている場合の変換変数引数を修正します。(bsc#1025896)

 - dockerng.sls_buildのドライラン用のユニットテストを追加しました。

 - dockerng.sls_buildにドライランを追加しました。

 - dockerngの最小バージョン要件を更新します。

 - エラー解析のフォーマットエラーを修正します。

 - saltホームディレクトリの移行の修正を維持します。
 (bsc#1022562)

 - パッケージが利用できない場合にsalt pkg.latestが例外を発生させる問題を修正します。(bsc#1012999)

 - タイムゾーンは常にUTCになっている必要があります。(bsc#1017078)

 - rpm installtimeのタイムゾーン処理を修正します。 (bsc#1017078)

 - 統合テストの実行用のタイムアウトの増加。

 - buildargsオプションをdockerng.buildモジュールに追加します。

 - ssh-optionパラメーターがない場合のエラーを修正します。

 - yum通知プラグインを再追加します。

 - sls_buildにもすべての機能を提供ためのdockerng.createへのすべてのkwargs。

 - 日時は常にUTCで返す必要があります。

 - スケジュールされた状態の無限再帰でデータを逆シリアル化する際に発生する可能性があるクラッシュを修正します。(bsc#1036125)

 - 2016.11.4へのドキュメント更新

 - 詳細な説明については、以下を参照してください:

 + https://docs.saltstack.com/en/develop/topics/releases/2016.11.4.html

 + https://docs.saltstack.com/en/develop/topics/releases/2016.11.3.html

 + https://docs.saltstack.com/en/develop/topics/releases/2016.11.2.html

 + https://docs.saltstack.com/en/develop/topics/releases/2016.11.1.html

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ソリューション

このSUSEセキュリティ更新をインストールするには、YaST online_updateを使用してください。
別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Server 11-SP4-CLIENT-TOOLS:zypper in -t patch slesctsp4-salt-201705-13150=1

SUSE Linux Enterprise Server 11-SP3-LTSS:zypper in -t patch slesctsp3-salt-201705-13150=1

お使いのシステムを最新の状態にするには、「zypper パッチ」を使用してください。

参考資料

https://bugzilla.suse.com/show_bug.cgi?id=1011800

https://bugzilla.suse.com/show_bug.cgi?id=1012999

https://bugzilla.suse.com/show_bug.cgi?id=1017078

https://bugzilla.suse.com/show_bug.cgi?id=1020831

https://bugzilla.suse.com/show_bug.cgi?id=1022562

https://bugzilla.suse.com/show_bug.cgi?id=1025896

https://bugzilla.suse.com/show_bug.cgi?id=1027240

https://bugzilla.suse.com/show_bug.cgi?id=1027722

https://bugzilla.suse.com/show_bug.cgi?id=1030009

https://bugzilla.suse.com/show_bug.cgi?id=1030073

https://bugzilla.suse.com/show_bug.cgi?id=1032931

https://bugzilla.suse.com/show_bug.cgi?id=1035912

https://bugzilla.suse.com/show_bug.cgi?id=1035914

https://bugzilla.suse.com/show_bug.cgi?id=1036125

https://bugzilla.suse.com/show_bug.cgi?id=1038855

https://bugzilla.suse.com/show_bug.cgi?id=1039370

https://bugzilla.suse.com/show_bug.cgi?id=1040584

https://bugzilla.suse.com/show_bug.cgi?id=1040886

https://bugzilla.suse.com/show_bug.cgi?id=1043111

https://docs.saltstack.com/en/develop/topics/releases/2016.11.1.html

https://docs.saltstack.com/en/develop/topics/releases/2016.11.2.html

https://docs.saltstack.com/en/develop/topics/releases/2016.11.3.html

https://docs.saltstack.com/en/develop/topics/releases/2016.11.4.html

https://www.suse.com/security/cve/CVE-2017-5200/

https://www.suse.com/security/cve/CVE-2017-8109/

http://www.nessus.org/u?632f8742

プラグインの詳細

深刻度: High

ID: 100907

ファイル名: suse_SU-2017-1581-1.nasl

バージョン: 3.11

タイプ: local

エージェント: unix

公開日: 2017/6/20

更新日: 2021/1/19

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS v3

リスクファクター: High

基本値: 8.8

現状値: 7.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:salt, p-cpe:/a:novell:suse_linux:salt-doc, p-cpe:/a:novell:suse_linux:salt-minion, cpe:/o:novell:suse_linux:11

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/6/16

脆弱性公開日: 2017/4/25

参照情報

CVE: CVE-2017-5200, CVE-2017-8109