RHEL 6:Red Hat OpenShift Enterprise 2.1.9(RHSA-2014:1906)

high Nessus プラグイン ID 119357

概要

リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。

説明

2つのセキュリティの問題といくつかのバグを修正し、1つの拡張機能を追加したRed Hat OpenShift Enterpriseリリース2.1.9が利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System(CVSS)のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。Red Hatが提供するOpenShift Enterpriseは、オンプレミスまたはプライベートクラウド展開用に設計された、同社のクラウドコンピューティングのサービスとしてのプラットフォーム(PaaS)ソリューションです。OpenShift Enterprise 2.1では、異なる機器で実行中のサービスへのアクセスが適切に制限されていないことがわかりました。これにより、攻撃者が他のユーザーの機器で実行中の保護されていないネットワークリソースにアクセスする可能性があります。前回の更新では、ファイアウォールルールとSELinuxポリシーを作成して機器で実行中のサービスを独自の内部機器IPに含める、oo-gear-firewallコマンドがOpenShift Enterprise 2.2に導入されました。このコマンドは、このセキュリティ問題を回避するため、OpenShift Enterprise 2.2の新規インストール時にデフォルトで呼び出されます。今回の更新では、このコマンドがOpenShift Enterprise 2.1にバックポートされています。このセキュリティ問題に対処するため、管理者はこの更新を適用した後、既存のOpenShift Enterprise 2.1展開のノードホストで次のコマンドを実行する必要があります:# oo-gear-firewall -i enable -s enable:詳細については、oo-gear-firewallコマンドのmanページを参照してください。(CVE-2014-3674)OpenShift Enterpriseでは機器内の/proc/net/tcpファイルへのアクセスを制限していないため、ローカルユーザーがすべての待機中の接続と接続済みのソケットを表示できることがわかりました。これにより、使用中のリモートシステムのIPやポート番号が漏えいする可能性があり、さらなる標的型攻撃に悪用される場合があります。ローカルリスナーに対しては、OpenShift Enterpriseではデフォルトで接続を機器内に制限するため、ローカルポートとIPを知っていても攻撃者は接続することができません。ノードホストのSELinuxポリシーが更新され、ローカルユーザーはこの機器情報にアクセスできなくなりました。このアクセスが終了したことにより、以前はこれに依存していたJBossベースのカートリッジを標準の手順に従ってアップグレードする必要があります。これは互換性のあるカートリッジのアップグレードであるため、再起動は必要ありません。(CVE-2014-3602)スペースの関係上、すべてのバグ修正と拡張がこのアドバイザリに記載されているわけではありません。これらの変更の詳細については、「参照」セクションにリンクされている『OpenShift Enterpriseテクニカルノート』を参照してください。これは、リリース2.1.9で間もなく更新されます。すべてのOpenShift Enterpriseユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?1e45a65b

https://access.redhat.com/errata/RHSA-2014:1906

https://access.redhat.com/security/cve/cve-2014-3674

https://access.redhat.com/security/cve/cve-2014-3602

プラグインの詳細

深刻度: High

ID: 119357

ファイル名: redhat-RHSA-2014-1906.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2018/12/4

更新日: 2024/7/17

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.2

CVSS v2

リスクファクター: High

基本値: 7.5

現状値: 5.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2014-3674

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:openshift-enterprise-yum-validator, p-cpe:/a:redhat:enterprise_linux:openshift-enterprise-upgrade-broker, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jbosseap, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-node, p-cpe:/a:redhat:enterprise_linux:openshift-enterprise-release, p-cpe:/a:redhat:enterprise_linux:openshift-origin-node-util, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker-util, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-frontend-apache-mod-rewrite, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:openshift-enterprise-upgrade-node, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-controller, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-frontend-apachedb, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-frontend-haproxy-sni-proxy, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jbossews, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-msg-broker-mcollective, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-frontend-apache-vhost, p-cpe:/a:redhat:enterprise_linux:openshift-origin-msg-node-mcollective

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/11/25

脆弱性公開日: 2014/11/13

参照情報

CVE: CVE-2014-3602, CVE-2014-3674

BID: 71090, 71092

RHSA: 2014:1906