検出

プラグイン

RHEL 7：atomic-openshift-utils（RHSA-2016:2778）

critical Nessus プラグイン ID 119385

Language:

概要

リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。

説明

openshift-ansibleとansibleの更新が、OpenShift Container Platform 3.2と3.3で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS（共通脆弱性評価システム）ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat OpenShift Container Platformは、オンプレミスまたはプライベートクラウド展開用に設計された、同社のクラウドコンピューティングのサービスとしてのプラットフォーム（PaaS）ソリューションです。セキュリティ修正プログラム：* AnsibleはAnsibleコントローラーから送信されたファクト変数を正しくサニタイズしません。コントローラー上に特別な変数を作成できる攻撃者が、Ansibleが実行するユーザーとしてAnsibleクライアント上で任意のコマンドを実行する可能性があります。（CVE-2016-8628）この問題は、Michael Scherer氏（Red Hat）により発見されました。バグ修正プログラム：* 以前のバージョンのopenshift-ansibleコードベースは、最新のAnsible 2.2.0.0リリースと互換性がありませんでした。このバグ修正は、GAバージョンのAnsible 2.2.0.0とのいくつかの互換性の問題を解決します。（BZ#1389928）（BZ#1389275）* hosts.ose.exampleインベントリファイルに誤ったopenshift_releaseバージョンが設定されていました。このバグ修正により、出荷されているチャンネルと一致するようにバージョンが更新されました。（BZ#1386333）* インストーラーによって作成されたetcd認証局の有効期限は、1年後でした。このバグ修正により、有効期限は5年に更新され、インストーラーによって作成された他の認証局の有効期限と一致します。（BZ#1391548）* systemd-journalを再起動した後、マスターコントローラーとAPIサービスの動作が停止しました。このバグ修正により、マスターコントローラーとAPIサービスにRestart=alwaysを設定するようにインストーラーが更新され、この問題は新規インストールでは発生しなくなりました。既存のクラスターについては、https://access.redhat.com/solutions/2749571を参照してください。（BZ#1378929）* クイックインストーラーを使用してシングルマスターのクラスターをインストールするとき、組み込みのetcdを展開するよう推奨するメッセージがインストーラーに表示されました。新しいバージョンのクイックインストーラーではこれは表示されなくなり、このシナリオでは、スタンドアロンのetcdデータストアが展開されます。このバグ修正により、これらの変更に合うようにクイックインストーラーのメッセージが更新されました。（BZ#1383961）* システム上に/etc/ansible/facts.d/openshift.factキャッシュがない場合、特に同じ場所にあるマスターホストとetcdホストの場合は、アップグレードに失敗します。このバグ修正により、アップグレード中のetcdファクトチェックが改善され、問題が発生しなくなりました。（BZ#1391608）* OpenShift Container Platform 3.2から3.3へのコンテナ化されたアップグレードでは、コンテナ化された環境で無効なパスが使用されているため、サービス署名証明書を正しく作成できません。このバグ修正により、このエラーが修正され、コンテナ化されたアップグレードでサービス署名者証明書が作成されるようになりました。（BZ#1391865）* OpenShift Container Platform 3.2から3.3へのアップグレードは、「AnsibleUndefinedVariable: 'dict object' has no attribute 'debug_level'」というエラーで失敗する可能性があります。このバグ修正により、debug_levelに欠落していたデフォルトが設定され、アップグレードエラーが発生しなくなりました。（BZ#1392276）* 以前は、組み込み環境ではアップグレードを実行する前にetcd 2.xを使用してetcdデータをバックアップしていました。ただし、etcd 2.xにはバックアップが正しく機能しないバグがあるため、アップグレードプレイブックの実行を完了できません。このバグ修正により、etcd 3.0が組み込みのetcd環境にインストールされると、バグが解決されてアップグレードが正常に進行します。このバグは、シングルマスター環境で組み込みのetcdサービスを使用している場合にのみ発生します。(BZ#1382634) * Pacemakerクラスターはサポートされなくなりましたが、関連コードが残っているとアップグレードに失敗する場合があります。このバグ修正により、これらの問題を回避するためにインストーラーからPacemaker再起動ロジックが削除されます。（BZ# 1382936）* 以前は、バックアップ中にetcdホストに誤ったホスト名が追加されるため、OpenShift Container Platform 3.1から3.2へのアップグレードに失敗することがありました。このバグ修正により、この問題の原因となっていたテンプレートの条件やループに関する問題が解決し、アップグレードエラーは発生しなくなります。（BZ#1392169）すべてのOpenShift Container Platformユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?36174741

https://access.redhat.com/errata/RHSA-2016:2778

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1378929

https://bugzilla.redhat.com/show_bug.cgi?id=1382634

https://bugzilla.redhat.com/show_bug.cgi?id=1382936

https://bugzilla.redhat.com/show_bug.cgi?id=1383961

https://bugzilla.redhat.com/show_bug.cgi?id=1386333

https://bugzilla.redhat.com/show_bug.cgi?id=1388113

https://bugzilla.redhat.com/show_bug.cgi?id=1389275

https://bugzilla.redhat.com/show_bug.cgi?id=1389928

https://bugzilla.redhat.com/show_bug.cgi?id=1391548

https://bugzilla.redhat.com/show_bug.cgi?id=1391608

https://bugzilla.redhat.com/show_bug.cgi?id=1391865

https://bugzilla.redhat.com/show_bug.cgi?id=1392169

https://bugzilla.redhat.com/show_bug.cgi?id=1392276

プラグインの詳細

深刻度: Critical

ID: 119385

ファイル名: redhat-RHSA-2016-2778.nasl

バージョン: 1.7

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2018/12/4

更新日: 2024/11/4

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.5

CVSS v2

リスクファクター: High

基本値: 9

現状値: 6.7

ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C

CVSS スコアのソース: CVE-2016-8628

CVSS v3

リスクファクター: Critical

基本値: 9.1

現状値: 7.9

ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:openshift-ansible-lookup-plugins, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-callback-plugins, p-cpe:/a:redhat:enterprise_linux:ansible, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-roles, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-docs, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-filter-plugins, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-playbooks, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-utils, p-cpe:/a:redhat:enterprise_linux:openshift-ansible

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/11/15

脆弱性公開日: 2018/7/31

参照情報

CVE: CVE-2016-8628

CWE: 77

RHSA: 2016:2778