RHEL 6/7:Red Hat Satellite 6(RHSA-2018:0273)
medium Nessus プラグイン ID 106615
Language:
概要
リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。説明
Red Hat Satellite 6.2 for Red Hat Enterprise Linux 6およびRed Hat Enterprise Linux 7の更新プログラムが利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。[2018年2月6日更新]このアドバイザリは正しい解決方法で更新されました。この改訂された更新に含まれているパッケージは、元のアドバイザリでパッケージが含まれていたものから変わっていません。Red Hat Satelliteはシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの構成や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや構成管理も行います。Twistedは、イベントベースのインターネットアプリケーション用フレームワークです。Twisted Webは、TwistedとPythonを使用してWebアプリケーションをホストすることを目的とした完全なWebサーバーですが、静的ページにも十分に対応できます。セキュリティ修正プログラム:* CGIスクリプトのHTTP_PROXY環境変数を初期化するために、python-twisted-webがHTTPリクエストからのProxyヘッダーの値を使用していることがわかりました。これは、発信HTTPリクエストのプロキシを構成するために、特定のHTTPクライアント実装により引き続き不適切に使用されていました。リモートの攻撃者がこの欠陥を利用して、悪意のあるHTTPリクエストを通じて、CGIスクリプトにより実行されるHTTPリクエストを、攻撃者が制御するプロキシにリダイレクトする可能性があります。(CVE-2016-1000111)Red Hatは、この問題を報告してくれたScott Geary氏(VendHQ)に感謝の意を表します。この更新プログラムでは、次のバグが修正されています:* カスタム権限での証明書使用による、Satellite 6.2からSatellite 6.3へのアップグレードの失敗。これらのアップグレードパスが機能するようになりました。(BZ#1523880、BZ#1527963)* Satellite 6.2からSatellite 6.3にアップグレードするときのデータ検証をサポートするための追加ツールが提供されています。(BZ#1519904)* goferdとqpidのいくつかのメモリ使用バグが解決されました。(BZ#1319165、BZ#1318015、BZ#1492355、BZ#1491160、BZ#1440235)* Puppet報告と正誤表適用のパフォーマンスが向上しました。(BZ#1465146、BZ#1482204)* サービスを正しく停止しないで6.2.10から6.2.11にアップグレードすると、qpidデータの削除に失敗する可能性がありました。この状況は適切に処理されるようになりました。(BZ#1482539)* Puppetサーバーの暗号スイートは、インストールプロセスで設定できるようになりました。(BZ#1491363)* Apacheサーバーのデフォルトの暗号スイートは、デフォルトでより安全になりました。(BZ#1467434)* Satelliteに含まれるPulpサーバーは、単一のホストへの正誤表適用とPuppetリポジトリ同期の同時処理をより適切に処理できるように拡張されました。(BZ#1515195、BZ#1421594)* VDCサブスクリプションは、単一ホストのみのゲストプールを作成します。管理者は、誤ってこれらのプールにアクティベーションキーを設定していました。これを行う機能は無効になりました。(BZ#1369189)* SatelliteはRHSA-2016:1978の影響を受けませんが、セキュリティスキャナは誤ってこれを問題として表示します。これらの誤検知を避けるため、この正誤表のパッケージがSatelliteチャンネルで提供されるようになりました。(BZ#1497337)* OpenScapレポートの解析によってメモリリークが発生しました。このリークは修正されました。(BZ#1454743)* ドッカーのコンテナとリポジトリの名前の長さの検証における制限が強すぎました。名前を長くすることができるようになりました。(BZ#1424689)カーネルのユーザーは、これらの更新済みのパッケージへアップグレードし、これらのバグを修正することが推奨されます。ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 106615
ファイル名: redhat-RHSA-2018-0273.nasl
バージョン: 3.12
タイプ: local
エージェント: unix
公開日: 2018/2/6
更新日: 2020/3/16
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 1.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N
CVSS v3
リスクファクター: Medium
基本値: 5.3
現状値: 4.6
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:foreman, p-cpe:/a:redhat:enterprise_linux:foreman-compute, p-cpe:/a:redhat:enterprise_linux:foreman-debug, p-cpe:/a:redhat:enterprise_linux:foreman-ec2, p-cpe:/a:redhat:enterprise_linux:foreman-gce, p-cpe:/a:redhat:enterprise_linux:foreman-installer, p-cpe:/a:redhat:enterprise_linux:foreman-installer-katello, p-cpe:/a:redhat:enterprise_linux:foreman-libvirt, p-cpe:/a:redhat:enterprise_linux:foreman-openstack, p-cpe:/a:redhat:enterprise_linux:foreman-ovirt, p-cpe:/a:redhat:enterprise_linux:foreman-postgresql, p-cpe:/a:redhat:enterprise_linux:foreman-rackspace, p-cpe:/a:redhat:enterprise_linux:foreman-vmware, p-cpe:/a:redhat:enterprise_linux:katello, p-cpe:/a:redhat:enterprise_linux:katello-capsule, p-cpe:/a:redhat:enterprise_linux:katello-common, p-cpe:/a:redhat:enterprise_linux:katello-debug, p-cpe:/a:redhat:enterprise_linux:katello-installer-base, p-cpe:/a:redhat:enterprise_linux:katello-service, p-cpe:/a:redhat:enterprise_linux:libqpid-dispatch, p-cpe:/a:redhat:enterprise_linux:pulp-admin-client, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-admin-extensions, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-plugins, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-tools, p-cpe:/a:redhat:enterprise_linux:pulp-selinux, p-cpe:/a:redhat:enterprise_linux:pulp-server, p-cpe:/a:redhat:enterprise_linux:python-pulp-agent-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-bindings, p-cpe:/a:redhat:enterprise_linux:python-pulp-client-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-oid_validation, p-cpe:/a:redhat:enterprise_linux:python-pulp-puppet-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-repoauth, p-cpe:/a:redhat:enterprise_linux:python-pulp-streamer, p-cpe:/a:redhat:enterprise_linux:python-qpid-proton, p-cpe:/a:redhat:enterprise_linux:python-twisted-web, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-debuginfo, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-router, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-tools, p-cpe:/a:redhat:enterprise_linux:qpid-proton-c, p-cpe:/a:redhat:enterprise_linux:qpid-proton-debuginfo, p-cpe:/a:redhat:enterprise_linux:rubygem-smart_proxy_openscap, p-cpe:/a:redhat:enterprise_linux:satellite, p-cpe:/a:redhat:enterprise_linux:satellite-capsule, p-cpe:/a:redhat:enterprise_linux:satellite-cli, p-cpe:/a:redhat:enterprise_linux:satellite-debug-tools, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-foreman_theme_satellite, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-katello, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-katello_ostree, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/2/5
脆弱性公開日: 2020/3/11
参照情報
CVE: CVE-2016-1000111
RHSA: 2018:0273