検出

RHEL 7:Virtualization Manager(RHSA-2018:2071)

critical Nessus プラグイン ID 110796

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

org.ovirt.engine-rootの更新プログラムが、Red Hat Virtualization Manager 4.2で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Enterprise Virtualization Managerは、システム管理者が仮想マシンの閲覧および管理を行える集中管理プラットフォームです。このマネージャーは、検索機能、リソース管理、ライブ移行、仮想インフラストラクチャプロビジョニングを含む包括的な機能を提供します。このマネージャーはJBoss Application Serverアプリケーションであり、管理ポータル、ユーザーポータル、およびRepresentational State Transfer(REST)アプリケーションプログラミングインターフェイス(API)を含む、仮想環境へのアクセスおよび相互作用が可能な複数のインターフェイスを提供します。次のパッケージが新しいバージョンにアップグレードされました:* org.ovirt.engine-root (4.2.4.5)(BZ#1576752)セキュリティ修正プログラム:* ovirt-engine:手動データベースプロビジョニングを選択すると、パスワードがフィルタリングされません(CVE-2018-1075)* ovirt-engine-setup:engine-backupログのデータベースパスワードがフィルタリングされていません(CVE-2018-1072)影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。これらの問題はYedidyah Bar David氏(Red Hat)によって発見されました。バグ修正プログラム:*この更新プログラムにより、9.2データベースのロケールがシステムロケールと異なるときも、engine-setupがPostgreSQL 9.2を9.5にアップグレードできるようになります。(BZ#1579268)* このアップデートは、ユーザーが「Administration Portal」(管理ポータル)の[Users](ユーザー)タブをクリックしたときに生成される、非効率なクエリを修正します。この修正により、タブの読み込みが速くなります。(BZ#1583619)拡張機能:* 「Administration Portal」(管理ポータル)のストレージドメインの[General](一般)サブタブで、ストレージドメイン上の画像数が[Images](画像)の見出しの下に表示されます。これは、ブロックドメイン上のLV数に対応しています。(BZ#1587885)

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2018:2071

https://access.redhat.com/security/cve/cve-2018-1072

https://access.redhat.com/security/cve/cve-2018-1075

プラグインの詳細

深刻度: Critical

ID: 110796

ファイル名: redhat-RHSA-2018-2071.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

公開日: 2018/6/29

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS v3

リスクファクター: Critical

基本値: 9.8

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-ovirt-engine, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-ovirt-engine-common, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-tools, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-tools-backup, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-webadmin-portal, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:rhvm, p-cpe:/a:redhat:enterprise_linux:ovirt-engine, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-backend, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-dbscripts, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-extensions-api-impl, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-extensions-api-impl-javadoc, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-health-check-bundler, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-lib, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-restapi, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-base, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2018/6/27

脆弱性公開日: 2018/6/12

参照情報

CVE: CVE-2018-1072, CVE-2018-1075

RHSA: 2018:2071