RHEL 7:atomic-openshift-utils(RHSA-2016:2778)
critical Nessus プラグイン ID 119385
Language:
概要
リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。説明
openshift-ansibleとansibleの更新が、OpenShift Container Platform 3.2と3.3で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat OpenShift Container Platformは、オンプレミスまたはプライベートクラウド展開用に設計された、同社のクラウドコンピューティングのサービスとしてのプラットフォーム(PaaS)ソリューションです。セキュリティ修正プログラム:* AnsibleはAnsibleコントローラーから送信されたファクト変数を正しくサニタイズしません。コントローラー上に特別な変数を作成できる攻撃者が、Ansibleが実行するユーザーとしてAnsibleクライアント上で任意のコマンドを実行する可能性があります。(CVE-2016-8628)この問題は、Michael Scherer氏(Red Hat)により発見されました。バグ修正プログラム:* 以前のバージョンのopenshift-ansibleコードベースは、最新のAnsible 2.2.0.0リリースと互換性がありませんでした。このバグ修正は、GAバージョンのAnsible 2.2.0.0とのいくつかの互換性の問題を解決します。(BZ#1389928)(BZ#1389275)* hosts.ose.exampleインベントリファイルに誤ったopenshift_releaseバージョンが設定されていました。このバグ修正により、出荷されているチャンネルと一致するようにバージョンが更新されました。(BZ#1386333)* インストーラーによって作成されたetcd認証局の有効期限は、1年後でした。このバグ修正により、有効期限は5年に更新され、インストーラーによって作成された他の認証局の有効期限と一致します。(BZ#1391548)* systemd-journalを再起動した後、マスターコントローラーとAPIサービスの動作が停止しました。このバグ修正により、マスターコントローラーとAPIサービスにRestart=alwaysを設定するようにインストーラーが更新され、この問題は新規インストールでは発生しなくなりました。既存のクラスターについては、https://access.redhat.com/solutions/2749571を参照してください。(BZ#1378929)* クイックインストーラーを使用してシングルマスターのクラスターをインストールするとき、組み込みのetcdを展開するよう推奨するメッセージがインストーラーに表示されました。新しいバージョンのクイックインストーラーではこれは表示されなくなり、このシナリオでは、スタンドアロンのetcdデータストアが展開されます。このバグ修正により、これらの変更に合うようにクイックインストーラーのメッセージが更新されました。(BZ#1383961)* システム上に/etc/ansible/facts.d/openshift.factキャッシュがない場合、特に同じ場所にあるマスターホストとetcdホストの場合は、アップグレードに失敗します。このバグ修正により、アップグレード中のetcdファクトチェックが改善され、問題が発生しなくなりました。(BZ#1391608)* OpenShift Container Platform 3.2から3.3へのコンテナ化されたアップグレードでは、コンテナ化された環境で無効なパスが使用されているため、サービス署名証明書を正しく作成できません。このバグ修正により、このエラーが修正され、コンテナ化されたアップグレードでサービス署名者証明書が作成されるようになりました。(BZ#1391865)* OpenShift Container Platform 3.2から3.3へのアップグレードは、「AnsibleUndefinedVariable: 'dict object' has no attribute 'debug_level'」というエラーで失敗する可能性があります。このバグ修正により、debug_levelに欠落していたデフォルトが設定され、アップグレードエラーが発生しなくなりました。(BZ#1392276)* 以前は、組み込み環境ではアップグレードを実行する前にetcd 2.xを使用してetcdデータをバックアップしていました。ただし、etcd 2.xにはバックアップが正しく機能しないバグがあるため、アップグレードプレイブックの実行を完了できません。このバグ修正により、etcd 3.0が組み込みのetcd環境にインストールされると、バグが解決されてアップグレードが正常に進行します。このバグは、シングルマスター環境で組み込みのetcdサービスを使用している場合にのみ発生します。(BZ#1382634) * Pacemakerクラスターはサポートされなくなりましたが、関連コードが残っているとアップグレードに失敗する場合があります。このバグ修正により、これらの問題を回避するためにインストーラーからPacemaker再起動ロジックが削除されます。(BZ# 1382936)* 以前は、バックアップ中にetcdホストに誤ったホスト名が追加されるため、OpenShift Container Platform 3.1から3.2へのアップグレードに失敗することがありました。このバグ修正により、この問題の原因となっていたテンプレートの条件やループに関する問題が解決し、アップグレードエラーは発生しなくなります。(BZ#1392169)すべてのOpenShift Container Platformユーザーは、これらの更新済みパッケージにアップグレードすることが推奨されます。ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Critical
ID: 119385
ファイル名: redhat-RHSA-2016-2778.nasl
バージョン: 1.5
タイプ: local
エージェント: unix
公開日: 2018/12/4
更新日: 2020/6/11
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.5
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS v3
リスクファクター: Critical
基本値: 9.1
現状値: 7.9
ベクトル: CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:openshift-ansible-playbooks, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-roles, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:ansible, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-utils, p-cpe:/a:redhat:enterprise_linux:openshift-ansible, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-callback-plugins, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-docs, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-filter-plugins, p-cpe:/a:redhat:enterprise_linux:openshift-ansible-lookup-plugins
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2016/11/15
脆弱性公開日: 2018/7/31
参照情報
CVE: CVE-2016-8628
RHSA: 2016:2778