RHEL 7:Red Hat OpenShift Container Platform 3.10(RHSA-2018:2709)
high Nessus プラグイン ID 119405
Language:
概要
リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。説明
Red Hat OpenShift Container Platformリリース3.10.66が利用可能になりました。これには、いくつかのセキュリティとバグを修正し、拡張機能を追加するパッケージとイメージの更新が含まれています。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高と評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat OpenShift Container Platformは、オンプレミスまたはプライベートクラウド展開用に設計された、Red HatのクラウドコンピューティングKubernetesアプリケーションプラットフォームソリューションです。このアドバイザリには、Red Hat OpenShift Container Platform 3.10.66のRPMパッケージが含まれています。このリリースのコンテナイメージについては、次のアドバイザリを参照してください:https://access.redhat.com/errata/RHBA-2018:2824 セキュリティ修正プログラム:* atomic-openshift:jsonのocパッチにより、masterapiサービスがクラッシュする(CVE-2018-14632)影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティの問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。Red Hatは、この問題を報告してくれたLars Haugan氏に感謝の意を表します。すべてのOpenShift Container Platform 3.10ユーザーは、これらの更新済みパッケージとイメージにアップグレードすることが推奨されます。セキュリティ修正プログラム:* etcdのスケールアップ中に新しいホストを追加するには、etcdクラスターに関する情報が必要です。このバグ修正により、新しいホストを構成する前にこれらの情報を設定するタスクを完了することが必要になるため、想定どおりにスケールアップを完了できます。(BZ#1578482)* 以前は、Prometheusのインストールで使用可能なノードがあるかどうか確認するときに同期ポッドを使用できませんでした。そのため、Prometheusのインストールでカスタムラベルを使用して適切なノードを選択する場合、同期ポッドはそのラベルをすでにノードに適用している必要があります。適用していない場合、Prometheusインストーラーは一致するラベルを持つノードを見つけられません。このバグ修正により、インストールプロセスにチェックが追加され、インストールを続行する前に同期ポッドが利用可能になるまで待機するようになります。その結果、ノードのラベリングプロセスは完了し、ノードにはPrometheusポッドをスケジュールする正しいラベルが付けられます。(BZ#1609019)* このバグ修正により、XFSファイルシステムにマウントされたFlexVolumeのI/Oエラーが原因でポッドが停止したままになる問題が修正されました。(BZ#1626054)* 以前、fluentdは「OneEventStream」クラスを使って内部的にイベントを生成していました。このクラスには「empty?」メソッドがありません。Kubernetesメタデータフィルターは、空のストリームの処理を回避するため「EventStream」オブジェクトの「empty?」メソッドを使用していました。fluentdは「empty?」メソッドがないことに関するエラーメッセージを発行しますが、これによりコンテナログが満杯になり、ディスクの問題を引き起こしました。このバグ修正により、Kubernetesメタデータフィルターは「empty?」メソッドを持つオブジェクトでのみこのメソッドを呼び出すように変更されました。その結果、fluentdログにこのメッセージは含まれません。(BZ#1626552)* RubyGems FFI 1.9.25では、「SELinux deny_execmem=1」のシステムで動作するようにパッチを元に戻しました。この復帰により、fluentdがクラッシュしました。このバグ修正では、パッチの復帰を元に戻しました。その結果、「SELinux deny_execmem=1」を使用してもfluentdはクラッシュしなくなりました。(BZ#1628405)* このバグ修正により、*_redeploy-openshift-ca.yml_*プレイブックは正しいノードクライアント証明書ファイル「node/client-ca.crt」を参照するように更新されました。(BZ#1628546)* BZ1628371の修正により、シンボルが不足している不完全な共有ライブラリが導入されました。この不足しているシンボルが原因で、fluentdは「undefined symbol: rbffi_Closure_Alloc」エラーメッセージを表示してクラッシュしました。このバグ修正により、共有ライブラリは正しいシンボルで再ビルドされます。その結果、fluentdはクラッシュしなくなります。(BZ#1628798)* 以前は、journaldログドライバーでDockerを使用すると、システムやプレーンDockerコンテナのログを含むすべてのコンテナログがジャーナルに記録され、fluentdによって読み取られていました。fluentdはこれらのKubernetes以外のコンテナログの処理方法がわからず例外をスローしました。このバグ修正により、Kubernetes以外のコンテナログは他のシステムサービスからのログとして処理されます(.operations.*インデックスに送信される、など)。その結果、Kubernetes以外のコンテナからのログは正しくインデックス化され、エラーが発生しなくなります。(BZ#1632361)ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?dab2ee9b
https://access.redhat.com/errata/RHSA-2018:2709
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=1577955
https://bugzilla.redhat.com/show_bug.cgi?id=1578482
https://bugzilla.redhat.com/show_bug.cgi?id=1594187
https://bugzilla.redhat.com/show_bug.cgi?id=1608476
https://bugzilla.redhat.com/show_bug.cgi?id=1609019
https://bugzilla.redhat.com/show_bug.cgi?id=1609703
https://bugzilla.redhat.com/show_bug.cgi?id=1614414
https://bugzilla.redhat.com/show_bug.cgi?id=1615327
https://bugzilla.redhat.com/show_bug.cgi?id=1619886
https://bugzilla.redhat.com/show_bug.cgi?id=1623602
https://bugzilla.redhat.com/show_bug.cgi?id=1625885
https://bugzilla.redhat.com/show_bug.cgi?id=1625911
https://bugzilla.redhat.com/show_bug.cgi?id=1626054
https://bugzilla.redhat.com/show_bug.cgi?id=1626552
https://bugzilla.redhat.com/show_bug.cgi?id=1627764
https://bugzilla.redhat.com/show_bug.cgi?id=1628405
https://bugzilla.redhat.com/show_bug.cgi?id=1628546
https://bugzilla.redhat.com/show_bug.cgi?id=1628798
https://bugzilla.redhat.com/show_bug.cgi?id=1628964
https://bugzilla.redhat.com/show_bug.cgi?id=1629579
https://bugzilla.redhat.com/show_bug.cgi?id=1631021
https://bugzilla.redhat.com/show_bug.cgi?id=1631449
https://bugzilla.redhat.com/show_bug.cgi?id=1632361
https://bugzilla.redhat.com/show_bug.cgi?id=1632418
https://bugzilla.redhat.com/show_bug.cgi?id=1632862
https://bugzilla.redhat.com/show_bug.cgi?id=1632863
https://bugzilla.redhat.com/show_bug.cgi?id=1632865
https://bugzilla.redhat.com/show_bug.cgi?id=1633571
https://bugzilla.redhat.com/show_bug.cgi?id=1638519
https://bugzilla.redhat.com/show_bug.cgi?id=1638521
https://bugzilla.redhat.com/show_bug.cgi?id=1638525
プラグインの詳細
深刻度: High
ID: 119405
ファイル名: redhat-RHSA-2018-2709.nasl
バージョン: 1.10
タイプ: local
エージェント: unix
公開日: 2018/12/4
更新日: 2024/4/27
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS スコアのソース: CVE-2018-14645
CVSS v3
リスクファクター: High
基本値: 7.7
現状値: 6.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2018-14632
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:atomic-openshift, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-clients, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-clients-redistributable, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-docker-excluder, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-excluder, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-hyperkube, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-hypershift, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-master, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-node, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-pod, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-sdn-ovs, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-template-service-broker, p-cpe:/a:redhat:enterprise_linux:atomic-openshift-tests, p-cpe:/a:redhat:enterprise_linux:haproxy, p-cpe:/a:redhat:enterprise_linux:haproxy18, cpe:/o:redhat:enterprise_linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/11/11
脆弱性公開日: 2018/9/6
参照情報
CVE: CVE-2018-14632, CVE-2018-14645