検出

RHEL 6:Satellite Server(RHSA-2017:2645)

medium Nessus プラグイン ID 103045

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

satellite-schema、spacewalk-backend、spacewalk-java、およびspacewalk-schemaの更新プログラムがRed Hat Satellite 5.8およびRed Hat Satellite 5.8 ELSで利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Spacewalkは、システムのプロビジョニング、設定、パッチ機能を提供するオープンソースのシステム管理ソリューションです。Red Hat Satellite は、Linux ベースのインフラストラクチャ用のシステム管理ツールです。単一の集中化したツールを使用した、複数の Linux 展開のプロビジョニング、監視、リモート管理が可能になります。セキュリティ修正プログラム:* Satellite 5での組織名の表示方法にクロスサイトスクリプティング(XSS)の欠陥が見つかりました。組織の名前を変更できるユーザーがこの欠陥を悪用し、他のSatelliteユーザーに対してXSS攻撃を実行する可能性があります。(CVE-2017-7538)この問題はAles Dujicek氏(Red Hat)によって発見されました。バグ修正プログラム:*この更新プログラムより前は、衛星間同期またはチャンネルダンプを使用して衛星間でコンテンツを転送すると、チャンネルに関連する製品名を転送できませんでした。これは、EUSチャンネル間でサーバーを移動するプロセスの妨げとなりました。「satellite-export」ツールは、この動作を修正して、関連付けられた製品名を正しく提供するようになりました。(BZ#1446271)*この更新プログラムより前は、「schedule.failSystemAction()」というAPI呼び出しで、システムのイベント履歴を上書きできました。これは監査の観点からは望ましくありません。現在ではAPIが完了または失敗したイベントに影響を与える可能性はなくなりました。(BZ#1455887)*この更新プログラムより前は、組織の属性を変更することを許可されていない組織管理者は、フォーム要素を変更することによってこれを変更できました。現在では、関連付けられているフォームコントローラはこの動作を許可しません。(BZ#1458722)*更新プログラムより前は、使用可能なミラーの数がリトライ回数より多い場合、「ダウンロード」ツールのリトライ制限は正しくありませんでした。状況によっては、無害であっても役に立たないトレースバックも生成される可能性がありました。これらの動作は両方とも修正されました。(BZ#1458765)*この更新プログラムより前は、再アクティブ化キーを使用した並列の登録でスナップショットエントリが作成され、時々デッドロックが発生する可能性がありました。これらのデッドロックを防ぐために、再アクティブ化キー登録パスとスナップショット作成パスの両方が更新されました。(BZ#1458880)*この更新プログラムより前のリリースでは、特定のリポジトリ内の単一のエラッタに問題がある場合、「reposync」コマンドはエラーを出して終了していました。現在、ツールはこのようなエラーをログに記録しますが、残りのエラッタを同期し続けます。(BZ#1466229)* Satellite 5.8リリースでは、Satellite 5.7用にリリースされた登録失敗エラーメッセージの更新プログラムを含めることができませんでした。これにより、不足している更新プログラムが復元されます。(BZ#1467632)*この更新プログラムの前は、System Set Managerのシステムリストに、システムの更新ステータスに対応する正しいアイコンが表示されませんでした。これは修正されました。(BZ#1475067)*この更新プログラムより前は、「cdn-sync」コマンドのタイミングウィンドウで複数のチャネルを同時に同期すると、403エラーで一部の同期試行が拒否される可能性がありました。この更新プログラムでは、タイミングウィンドウが修正され、複数の同期が確実に機能するようになります。(BZ#1476924)*この更新プログラムより前に、所定のエラッタの影響を受けるSystem Set Managerでシステムを表示しようとすると、内部サーバーエラーが発生していました。これは修正されました。(BZ#1477508)*この更新プログラムより前は、特定のチャンネルで「cdn-sync --no-packages」を使用すると、そのチャンネルからすべてのパッケージの関連付けが解除されていました。この動作は修正され、「--no-packages」は意図したとおりにそのステップをスキップするようになりました。(BZ#1477667)

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/articles/273633

https://access.redhat.com/articles/11258

https://access.redhat.com/errata/RHSA-2017:2645

https://access.redhat.com/security/cve/cve-2017-7538

プラグインの詳細

深刻度: Medium

ID: 103045

ファイル名: redhat-RHSA-2017-2645.nasl

バージョン: 3.10

タイプ: local

エージェント: unix

公開日: 2017/9/8

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.0

CVSS v2

リスクファクター: Low

基本値: 3.5

現状値: 2.6

ベクトル: CVSS2#AV:N/AC:M/Au:S/C:N/I:P/A:N

CVSS v3

リスクファクター: Medium

基本値: 5.4

現状値: 4.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:spacewalk-java, p-cpe:/a:redhat:enterprise_linux:spacewalk-java-config, p-cpe:/a:redhat:enterprise_linux:spacewalk-java-lib, p-cpe:/a:redhat:enterprise_linux:spacewalk-java-oracle, p-cpe:/a:redhat:enterprise_linux:spacewalk-java-postgresql, p-cpe:/a:redhat:enterprise_linux:spacewalk-schema, p-cpe:/a:redhat:enterprise_linux:spacewalk-taskomatic, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:satellite-schema, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-app, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-applet, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-cdn, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-config-files, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-config-files-common, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-config-files-tool, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-iss, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-iss-export, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-libs, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-package-push-server, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-server, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-sql, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-sql-oracle, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-sql-postgresql, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-tools, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-xml-export-libs, p-cpe:/a:redhat:enterprise_linux:spacewalk-backend-xmlrpc

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/9/6

脆弱性公開日: 2018/7/26

参照情報

CVE: CVE-2017-7538

RHSA: 2017:2645