RHEL 6:openshift(RHSA-2013:0582)
high Nessus プラグイン ID 119432
Language:
概要
リモートのRed Hatホストに1つまたは複数のセキュリティ更新プログラムがありません。説明
Red Hat OpenShift Enterprise 1.1.1が利用可能になりました。Red Hatセキュリティレスポンスチームは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供するCommon Vulnerability Scoring System(CVSS)のベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに確認できます。OpenShift Enterpriseは、オンプレミスまたはプライベートクラウド展開用に設計された、Red Hatのクラウドコンピューティングのサービスとしてのプラットフォーム(PaaS)ソリューションです。この更新では、更新済みパッケージのインストールとOpenShiftサービスの再起動のみが必要です。ただし、OpenShift Enterprise 1.1.1の更新の適用中にシステムをRed Hat Enterprise Linux 6.4に更新する場合は、システムを再起動することを推奨します。このリリースの詳細については、間もなくhttps://access.redhat.com/knowledge/docs/から入手できる『OpenShift Enterprise 1.1.1テクニカルノート』を参照してください。この更新では、次のセキュリティ問題も修正されています:rubygem-actionpackで複数のクロスサイトスクリプティング(XSS)の欠陥が見つかりました。リモートの攻撃者が、これらの欠陥を悪用して、rubygem-actionpackを使用するアプリケーションのユーザーに対してXSS攻撃を仕掛ける可能性があります。(CVE-2012-3463、CVE-2012-3464、CVE-2012-3465)一部のメソッドでは、Rubyの下層のルーチンに渡す前に、ファイル名をサニタイズしていないことがわかりました。Rubyアプリケーションが信頼できない入力に基づく名前でファイルを作成すると、予期していた名前とは違う名前でファイルが作成される可能性があります。(CVE-2012-4522)Rubyの連想配列(ハッシュ値)の実装でサービス拒否の欠陥が見つかりました。配列にデータを挿入するときにキーとして使用される多数の入力(Webアプリケーションに送信されるHTTP POSTリクエストパラメーターなど)をRubyアプリケーションに供給できる攻撃者が、複数のハッシュ関数衝突を発生させ、配列の操作に過度に長いCPU時間を消費させる可能性があります。この問題を緩和するために、衝突に対してより強い新しいアルゴリズムが使用されており、攻撃者が意図的に衝突を引き起こす可能性が低減しています。(CVE-2012-5371)rubygem-activerecordに複数の入力検証の脆弱性が発見されました。リモートの攻撃者が、これらの欠陥を悪用して、rubygem-activerecordを使用するアプリケーションに対してSQLインジェクション攻撃を仕掛ける可能性があります。(CVE-2012-2661、CVE-2012-2695、CVE-2013-0155)rubygem-actionpackに複数の入力検証の脆弱性が発見されました。リモートの攻撃者が、これらの欠陥を悪用して、rubygem-actionpackとrubygem-activerecordを使用するアプリケーションに対してSQLインジェクション攻撃を仕掛ける可能性があります。(CVE-2012-2660、CVE-2012-2694)rubygem-actionpack のHTTPダイジェスト認証の実装に、欠陥が見つかりました。リモートの攻撃者が、この欠陥を悪用して、rubygem-actionpackとダイジェスト認証を使用するアプリケーションにサービス拒否を引き起こす可能性があります。(CVE-2012-3424)Ruby安全レベル4の文字列処理に欠陥が見つかりました。リモートの攻撃者が、例外#to_sを使用して汚染されていない文字列を破壊的に変更して汚染させ、文字列を任意に変更する可能性があります。(CVE-2012-4466)例外メッセージをRuby例外クラスの文字列に変換するためのメソッドで、欠陥が見つかりました。リモートの攻撃者が、この欠陥を悪用して、安全レベル4の制限をバイパスする可能性があります。これにより、信頼できない(汚染した)コードにより、任意の信頼されている(汚染していない)文字列が変更される可能性があります。欠陥がなければ、このような動作は、安全レベル4の制限により防止されます。(CVE-2012-4464)rubygem-ruby_parserのruby_parserが安全でない方法で一時ファイルを作成していたことが見つかりました。ローカルの攻撃者がこの欠陥を悪用して、シンボリックリンク攻撃を仕掛け、ruby_parser を使用するアプリケーションがアクセス可能な任意のファイルを上書きする可能性があります。(CVE-2013-0162)CVE-2013-0162の問題は、Red Hat地域ITチームのMichael Scherer氏により発見されました。ユーザーは、Red Hat OpenShift Enterprise 1.1.1にアップグレードすることが推奨されます。ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/documentation/en-us/
https://access.redhat.com/errata/RHSA-2013:0582
https://access.redhat.com/security/cve/cve-2012-2660
https://access.redhat.com/security/cve/cve-2012-3463
https://access.redhat.com/security/cve/cve-2012-3465
https://access.redhat.com/security/cve/cve-2012-3424
https://access.redhat.com/security/cve/cve-2012-2661
https://access.redhat.com/security/cve/cve-2012-2694
https://access.redhat.com/security/cve/cve-2012-2695
https://access.redhat.com/security/cve/cve-2012-3464
https://access.redhat.com/security/cve/cve-2012-4522
https://access.redhat.com/security/cve/cve-2013-0155
https://access.redhat.com/security/cve/cve-2012-4464
https://access.redhat.com/security/cve/cve-2012-5371
https://access.redhat.com/security/cve/cve-2012-4466
プラグインの詳細
深刻度: High
ID: 119432
ファイル名: redhat-RHSA-2013-0582.nasl
バージョン: 1.9
タイプ: local
エージェント: unix
公開日: 2018/12/6
更新日: 2021/1/14
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-tcltk, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-actionpack, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-actionpack-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activemodel, p-cpe:/a:redhat:enterprise_linux:graphviz, p-cpe:/a:redhat:enterprise_linux:graphviz-debuginfo, p-cpe:/a:redhat:enterprise_linux:graphviz-devel, p-cpe:/a:redhat:enterprise_linux:graphviz-doc, p-cpe:/a:redhat:enterprise_linux:graphviz-gd, p-cpe:/a:redhat:enterprise_linux:graphviz-ruby, p-cpe:/a:redhat:enterprise_linux:openshift-console, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker-util, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-cron-1.4, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-diy-0.1, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activemodel-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activerecord, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activerecord-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-bigdecimal, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-io-console, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-json, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-minitest, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-railties, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-railties-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rake, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rdoc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ruby_parser, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ruby_parser-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygems, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygems-devel, p-cpe:/a:redhat:enterprise_linux:rubygem-actionpack, p-cpe:/a:redhat:enterprise_linux:rubygem-activemodel, p-cpe:/a:redhat:enterprise_linux:rubygem-activemodel-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-activerecord, p-cpe:/a:redhat:enterprise_linux:rubygem-bson, p-cpe:/a:redhat:enterprise_linux:rubygem-mongo, p-cpe:/a:redhat:enterprise_linux:rubygem-mongo-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-auth-remote-user, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-console, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-console-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-controller, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-node, p-cpe:/a:redhat:enterprise_linux:rubygem-ruby_parser, p-cpe:/a:redhat:enterprise_linux:rubygem-ruby_parser-doc, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-haproxy-1.4, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jbosseap-6.0, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jbossews-1.0, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jenkins-1.4, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jenkins-client-1.4, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-mysql-5.1, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-perl-5.10, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-php-5.3, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-postgresql-8.4, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-ruby-1.8, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-ruby-1.9-scl, p-cpe:/a:redhat:enterprise_linux:openshift-origin-msg-node-mcollective, p-cpe:/a:redhat:enterprise_linux:php-bcmath, p-cpe:/a:redhat:enterprise_linux:php-debuginfo, p-cpe:/a:redhat:enterprise_linux:php-devel, p-cpe:/a:redhat:enterprise_linux:php-imap, p-cpe:/a:redhat:enterprise_linux:php-mbstring, p-cpe:/a:redhat:enterprise_linux:php-process, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-devel, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-irb, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-libs
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2013/2/28
脆弱性公開日: 2012/6/22
参照情報
CVE: CVE-2012-2660, CVE-2012-2661, CVE-2012-2694, CVE-2012-2695, CVE-2012-3424, CVE-2012-3463, CVE-2012-3464, CVE-2012-3465, CVE-2012-4464, CVE-2012-4466, CVE-2012-4522, CVE-2012-5371, CVE-2013-0155, CVE-2013-0162, CVE-2013-0276
BID: 53753, 53754, 53970, 53976, 54704, 54957, 54958, 54959, 55757, 56115, 56484, 57192, 58110
RHSA: 2013:0582