検出

RHEL 7:Red Hat Ceph Storage 1.3(RHSA-2016:2847)

medium Nessus プラグイン ID 110331

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

Red Hat Ceph Storage 1.3の更新プログラムが利用可能になりました。このエラッタは、Red Hat Enterprise Linux 7で動作するRed Hat Ceph Storageに適用されます。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Ceph Storageは、スケーラブルかつオープンなソフトウェア定義型ストレージプラットフォームです。Cephストレージシステムの最も安定したバージョンに、Ceph管理プラットフォーム、展開ユーティリティ、およびサポートサービスを搭載しています。セキュリティ修正プログラム:* CephオブジェクトゲートウェイがPOSTオブジェクトリクエストを処理する方法に、欠陥が見つかりました。認証された攻撃者が、nullまたは特別に細工されたPOSTオブジェクトリクエストを送信することによって、サービス拒否攻撃を開始する可能性があります。(CVE-2016-8626)バグ修正プログラム:*長さゼロのセグメントを含むダイナミックラージオブジェクト(DLO)により、GETリクエストが無限ループに入るか、または長さゼロのセグメントの位置によっては失敗する可能性があり、CephオブジェクトゲートウェイノードがCPUを100%消費する原因となっていました。このバグは修正されており、GETリクエストは上記の状況で正常に処理されます。(BZ#1380196)*特定のアップストリーム変更をバックポートした後に、アンダースコア文字を含むオブジェクトの削除ができませんでした。このバグの原因となった変更が削除され、オブジェクトを正常に削除できるようになりました。(BZ#1388647)拡張機能:*この更新プログラムで、「apply-layout-settings」コマンドがceph-objectstore-toolユーティリティに追加されました。新しいコマンドを使用すると、ユーザーはオンラインで行うと影響の大きいコレクションの分割をOSDノード上で、オフラインで行えます。(BZ#1367441)*この更新プログラムでは、バケットあたりのシャード数の最大値を変更できます。これはバケットシャーディングが正しく構成されていないときに特に便利です。(BZ#1378995)Red Hat Ceph Storageの全ユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2016:2847

https://access.redhat.com/security/cve/cve-2016-8626

プラグインの詳細

深刻度: Medium

ID: 110331

ファイル名: redhat-RHSA-2016-2847.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2018/6/6

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 6.8

現状値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:C

CVSS v3

リスクファクター: Medium

基本値: 6.5

現状値: 5.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:ceph-common, p-cpe:/a:redhat:enterprise_linux:ceph-debuginfo, p-cpe:/a:redhat:enterprise_linux:ceph-radosgw, p-cpe:/a:redhat:enterprise_linux:ceph-selinux, p-cpe:/a:redhat:enterprise_linux:librados2, p-cpe:/a:redhat:enterprise_linux:librados2-devel, p-cpe:/a:redhat:enterprise_linux:librbd1, p-cpe:/a:redhat:enterprise_linux:librbd1-devel, p-cpe:/a:redhat:enterprise_linux:python-rados, p-cpe:/a:redhat:enterprise_linux:python-rbd, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/12/1

脆弱性公開日: 2018/7/31

参照情報

CVE: CVE-2016-8626

RHSA: 2016:2847