Ubuntu 14.04 LTS : OpenStack Nova の脆弱性 (USN-3449-1)
medium Nessus プラグイン ID 103812
Language:
概要
リモート Ubuntu ホストに 1 つ以上のセキュリティ更新がありません。説明
George Shuklin氏は、OpenStack Novaが移行プロセスを不適切に処理することを発見しました。リモートの認証されたユーザーがこの問題を悪用して、リソースを消費し、サービス拒否を引き起こす可能性があります。(CVE-2015-3241)George Shuklin氏とTushar Patil氏は、OpenStack Novaがインスタンスの削除を不適切に処理することを発見しました。リモートの認証されたユーザーがこの問題を悪用して、ディスクリソースを枯渇させ、サービス拒否を引き起こす可能性があります。(CVE-2015-3280)
OpenStack Novaがqemu-img呼び出しを誤って制限していたことがわかりました。リモートの認証されたユーザーがこの問題を悪用して、リソースを消費し、サービス拒否を引き起こす可能性があります。(CVE-2015-5162)
Matthew Booth氏は、OpenStack Novaがスナップショットを不適切に処理することを発見しました。認証されたリモートのユーザーが、この問題を悪用して、任意のファイルを読み取る可能性があります。(CVE-2015-7548)
Sreekumar S.氏とSuntao氏は、OpenStack Novaがセキュリティグループの変更を不適切に適用することを発見しました。リモートの攻撃者がこの問題を悪用して、変更が行われたときに実行されていたインスタンスを悪用して、制限の変更をバイパスする可能性があります。(CVE-2015-7713)
Matt Riedemann氏は、OpenStack Novaがロギングを不適切に処理することを発見しました。ローカルの攻撃者がこの問題を悪用して、ログファイルから秘密情報を取得する可能性があります。(CVE-2015-8749)
Matthew Booth氏は、OpenStack Novaが特定のqcow2ヘッダーを不適切に処理することを発見しました。認証されたリモートのユーザーがこの問題を悪用して、任意のファイルを読み取る可能性があります。(CVE-2016-2140)。
注意: Tenable Network Security は、前述の説明ブロックを Ubuntu セキュリティアドバイザリからすでに直接抽出しています。Tenable では、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 103812
ファイル名: ubuntu_USN-3449-1.nasl
バージョン: 3.8
タイプ: local
エージェント: unix
ファミリー: Ubuntu Local Security Checks
公開日: 2017/10/12
更新日: 2023/10/20
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.9
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2015-7713
CVSS v3
リスクファクター: Medium
基本値: 5.9
現状値: 5.3
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
CVSS スコアのソース: CVE-2015-8749
脆弱性情報
CPE: p-cpe:/a:canonical:ubuntu_linux:nova-compute-vmware, p-cpe:/a:canonical:ubuntu_linux:nova-compute-xen, p-cpe:/a:canonical:ubuntu_linux:nova-conductor, p-cpe:/a:canonical:ubuntu_linux:nova-console, p-cpe:/a:canonical:ubuntu_linux:nova-consoleauth, p-cpe:/a:canonical:ubuntu_linux:nova-network, p-cpe:/a:canonical:ubuntu_linux:nova-novncproxy, p-cpe:/a:canonical:ubuntu_linux:nova-objectstore, p-cpe:/a:canonical:ubuntu_linux:nova-scheduler, p-cpe:/a:canonical:ubuntu_linux:nova-spiceproxy, p-cpe:/a:canonical:ubuntu_linux:nova-volume, p-cpe:/a:canonical:ubuntu_linux:nova-xvpvncproxy, p-cpe:/a:canonical:ubuntu_linux:python-nova, cpe:/o:canonical:ubuntu_linux:14.04:-:lts, p-cpe:/a:canonical:ubuntu_linux:nova-ajax-console-proxy, p-cpe:/a:canonical:ubuntu_linux:nova-api, p-cpe:/a:canonical:ubuntu_linux:nova-api-ec2, p-cpe:/a:canonical:ubuntu_linux:nova-api-metadata, p-cpe:/a:canonical:ubuntu_linux:nova-api-os-compute, p-cpe:/a:canonical:ubuntu_linux:nova-api-os-volume, p-cpe:/a:canonical:ubuntu_linux:nova-baremetal, p-cpe:/a:canonical:ubuntu_linux:nova-cells, p-cpe:/a:canonical:ubuntu_linux:nova-cert, p-cpe:/a:canonical:ubuntu_linux:nova-common, p-cpe:/a:canonical:ubuntu_linux:nova-compute, p-cpe:/a:canonical:ubuntu_linux:nova-compute-kvm, p-cpe:/a:canonical:ubuntu_linux:nova-compute-libvirt, p-cpe:/a:canonical:ubuntu_linux:nova-compute-lxc, p-cpe:/a:canonical:ubuntu_linux:nova-compute-qemu
必要な KB アイテム: Host/cpu, Host/Ubuntu, Host/Ubuntu/release, Host/Debian/dpkg-l
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2017/10/11
脆弱性公開日: 2015/9/8
参照情報
CVE: CVE-2015-3241, CVE-2015-3280, CVE-2015-5162, CVE-2015-7548, CVE-2015-7713, CVE-2015-8749, CVE-2016-2140
USN: 3449-1