RHEL 7：Red Hat Ceph Storage 3.0（RHSA-2018:2177）

high Nessus プラグイン ID 111145

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

cephの更新プログラムがRed Hat Enterprise Linux 7のRed Hat Ceph Storage 3.0で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Ceph Storageは、スケーラブルかつオープンなソフトウェア定義型ストレージプラットフォームです。Cephストレージシステムの最も安定したバージョンに、Ceph管理プラットフォーム、展開ユーティリティ、およびサポートサービスを搭載しています。セキュリティ修正プログラム：* ceph：cephxプロトコルはリプレイ攻撃に対して脆弱です（CVE-2018-1128）* ceph：cephxは弱い署名を使用します（CVE-2018-1129）* ceph： ceph-monはOSD pool opsで承認を実行しません（CVE-2018-10861）影響、CVSSスコア、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。バグ修正プログラム：* 以前は、syncが無効に設定されている場合（「rgw_run_sync_thread = false」）、マルチサイトレプリケーションで構成されたゾーン内のCeph RADOS Gateway （RGW）のインスタンスがクラッシュしていました。したがって、マルチサイトレプリケーション環境では専用のレプリケーション以外のRGWインスタンスを開始できませんでした。この更新プログラムでは、「rgw_run_sync_thread」オプションを使用して、たとえゾーンが複製されても、レプリケーションに参加しないRGWインスタンスを設定することが可能です。（BZ#1552202）* 以前は、「max_mds」を「1」から「2」に増加させるときに、Metadata Server（MDS）デーモンが長時間、開始/解決状態にある場合、それからMDSデーモンを再起動するとアサートが発生していました。これにより、Ceph File System（CephFS）は機能低下状態に陥っていました。この更新プログラムでは、「max_mds」を増加させても、CephFSが機能低下状態に陥ることはなくなっています。（BZ#1566016）* 以前は、コンテナ化されたCephへの移行で、一部の「ceph-disk」ユニットファイルが残されていました。このファイルは問題を引き起こしませんが、失敗とみなされました。この更新プログラムでは、「switch-from-non-containerized-to-containerized-ceph-daemons.yml」プレイブックを実行することで「ceph-disk」ユニットファイルも無効にします。（BZ#1577846）* 以前は、「rbd mirror image status」CLIツールから出力される「entries_behind_master」メトリックは合成ワークロードで必ずしもゼロに減りませんでした。これにより、RBDミラーリングレプリケーションに問題があるという誤警報が生じる可能性がありました。この更新プログラムでは、ワークロードで明確なI/Oフラッシュを必要とせず、メトリックが定期的に更新されるようになりました。（BZ#1578509）* 以前は、「pool create」コマンドを「expected_num_objects」と使用するとき、プレースメントグループ（PG）ディレクトリがプール作成時間に正常に事前作成されず、その結果ファイルストアの分割が起きるとパフォーマンスの低下が生じる可能性がありました。この更新プログラムでは、「expected_num_objects」パラメーターが正しくファイルストアに渡され、想定数のPGディレクトリがプール作成時間に事前作成されるようになりました。（BZ#1579039）* 以前は、S3オブジェクトのバージョン管理の有効化でコンテナを同期しようとするとき、内部のRADOS Gateway（RGW）マルチサイト同期ロジックが不適切な動作を行っていました。「s3cmd sync」を使用し、ファイルシステムディレクトリをミラーするときなど、シナリオによっては、バージョン管理が有効化されたコンテナ内のオブジェクトが同期に失敗していました。この更新プログラムでは、RGWマルチサイトレプリケーションロジックは、既知のエラー事例で修正されました。（BZ#1580497）* OSDデーモンを再起動するとき、systemctl list-unitsでユニットをリスト化することで、「ceph-ansible」の再起動スクリプトがすべてのデーモンに実行されます。特定の状況下では、コマンドの出力に余分なスペースが含まれることがあり、これにより解析や再起動の失敗が生じていました。この更新プログラムでは、余分なスペースを処理するように基礎となるコードが変更されました。* 以前は、Ceph RADOS Gateway（RGW）サーバーが負のバイト範囲のオブジェクトリクエスト（「bytes=0--1」）を無効と処理していました。負の範囲またはその他の無効な範囲のリクエストにAWS動作を期待するアプリケーションでは、予期しないエラーが起こり、失敗が生じる可能性がありました。この更新プログラムでは、新しいオプションである「rgw_ignore_get_invalid_range」がRGWに追加されました。「rgw_ignore_get_invalid_range」が「真（true）」に設定されているとき、無効な範囲のリクエストへのRGW動作にはAWSと後方互換性があります。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2018:2177

https://access.redhat.com/security/cve/cve-2018-1128

https://access.redhat.com/security/cve/cve-2018-1129

https://access.redhat.com/security/cve/cve-2018-10861

プラグインの詳細

深刻度: High

ID: 111145

ファイル名: redhat-RHSA-2018-2177.nasl

バージョン: 1.6

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2018/7/18

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Medium

基本値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:P/A:P

CVSS v3

リスクファクター: High

基本値: 8.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:H

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:ceph-ansible, p-cpe:/a:redhat:enterprise_linux:ceph-base, p-cpe:/a:redhat:enterprise_linux:ceph-common, p-cpe:/a:redhat:enterprise_linux:ceph-debuginfo, p-cpe:/a:redhat:enterprise_linux:ceph-fuse, p-cpe:/a:redhat:enterprise_linux:ceph-mds, p-cpe:/a:redhat:enterprise_linux:ceph-radosgw, p-cpe:/a:redhat:enterprise_linux:ceph-selinux, p-cpe:/a:redhat:enterprise_linux:cephmetrics, p-cpe:/a:redhat:enterprise_linux:cephmetrics-ansible, p-cpe:/a:redhat:enterprise_linux:cephmetrics-collectors, p-cpe:/a:redhat:enterprise_linux:cephmetrics-grafana-plugins, p-cpe:/a:redhat:enterprise_linux:libcephfs-devel, p-cpe:/a:redhat:enterprise_linux:libcephfs2, p-cpe:/a:redhat:enterprise_linux:librados-devel, p-cpe:/a:redhat:enterprise_linux:librados2, p-cpe:/a:redhat:enterprise_linux:libradosstriper1, p-cpe:/a:redhat:enterprise_linux:librbd-devel, p-cpe:/a:redhat:enterprise_linux:librbd1, p-cpe:/a:redhat:enterprise_linux:librgw-devel, p-cpe:/a:redhat:enterprise_linux:librgw2, p-cpe:/a:redhat:enterprise_linux:nfs-ganesha, p-cpe:/a:redhat:enterprise_linux:nfs-ganesha-ceph, p-cpe:/a:redhat:enterprise_linux:nfs-ganesha-debuginfo, p-cpe:/a:redhat:enterprise_linux:nfs-ganesha-rgw, p-cpe:/a:redhat:enterprise_linux:python-cephfs, p-cpe:/a:redhat:enterprise_linux:python-rados, p-cpe:/a:redhat:enterprise_linux:python-rbd, p-cpe:/a:redhat:enterprise_linux:python-rgw, p-cpe:/a:redhat:enterprise_linux:rbd-mirror, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2018/7/11

脆弱性公開日: 2018/7/10

参照情報

CVE: CVE-2018-10861, CVE-2018-1128, CVE-2018-1129

RHSA: 2018:2177