RHEL 7:heketi(RHSA-2019:3255)
critical Nessus プラグイン ID 130417
Language:
概要
リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。説明
1つのセキュリティ問題と複数のバグを修正し、さまざまな機能拡張を追加する、更新されたheketiパッケージがOpenShift Container Storage 3.11 Batch 4 Updateで利用できるようになりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中と評価しています。詳細な重大度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Heketiは、GlusterFSボリュームのライフサイクルを管理するために使用できるRESTful管理インターフェイスを提供します。Heketiにより、OpenStack Manila、Kubernetes、OpenShiftなどのクラウドサービスは、サポートされているあらゆる耐久性タイプでGlusterFSボリュームを動的にプロビジョニングできます。Heketiは、クラスタ全体のブリックの場所を自動的に判断し、異なる障害ドメインにブリックとそのレプリカを配置するようにします。Heketiは任意の数のGlusterFSクラスターもサポートしているため、クラウドサービスは単一のGlusterFSクラスターに限定されることなくネットワークファイルストレージを提供できます。次のパッケージが新しいアップストリームバージョンにアップグレードされました:heketi(9.0.0)。(BZ#1710080)セキュリティ修正プログラム:* heketi:安全ではない既定値でheketiをインストールできる(CVE-2019-3899)影響、CVSSスコア、謝辞、その他の関連情報を含むセキュリティ問題の詳細については、「参照」セクションに記載されているCVEのページを参照してください。バグ修正:*以前は、Heketiを安全ではない方法でうっかり設定してしまうことが起こりやすく、Heketiで管理されているストレージの変更を無許可のユーザーに許すリスクを高めていました。既定の設定が変更され、認証設定が必須となり、また、認証を意図せずに無効化することが難しくなりました。(BZ#1701838)*以前は、OpenShift/Kubernetesポッド内でHeketiがコマンドを実行すると、タイムアウトが指定されずにコマンドが実行されました。そのため、コマンドを常にタイムアウト付きで実行するSSH実行とは異なり、一部のコマンドが返ってこなくなりました。今回の更新プログラムで、glusterコンテナーで実行されるコマンドにタイムスタンプが指定されます。使用される接続の種類に関係なく、タイムアウト値は同じです。(BZ# 1636912)*以前は、Heketiで複数のクラスターを管理するとき、一部のクラスターでボリュームの作成に失敗した場合、「容量がありません」という汎用エラーメッセージが返されました。今回の更新プログラムでは、Heketiで複数のglusterクラスターを管理するときに発行されるエラーメッセージが改善されました。Heketiでは、クラスターにノードがないときやいずれのノードにも利用できるデバイスがないとき、特定のエラーが表示されるようになりました。また、クラスターエラーの先頭にクラスターIDを付け、各クラスターのエラーについて報告されます。(BZ#1577803)*以前は、操作のクリーンアップがサーバーから同時に要求されたとき、サーバーでは、同じ操作のクリーンアップが2回開始されました。これがサーバーにパニックを引き起こしました。今回の更新プログラムで、2つの操作クリーンアップが同時に要求されても、サーバーではパニックが起こらなくなりました。(BZ#1702162)機能強化:*Heketiを利用し、glusterの信頼されているストレージプールのノードが削除または追加されるとき、既存のエンドポイントが自動的に更新されません。今回の更新プログラムで、ノードの追加/削除後、エンドポイントを更新するため、ユーザーは次のコマンドを実行できるようになりました:1. heketi-cliボリュームエンドポイントパッチ 2. ocパッチep -p(BZ#1660681)*今回の更新プログラムで、Heketiは、デバイスのパスが変更された場合でも、ディスクデバイスに関連付けられている追加メタデータを追跡できるようになりました。追加メタデータが反映されるように一部のコマンドの出力が更新されました。(BZ#1609553)Heketiのユーザーには、以上の機能強化を追加し、バグを修正する更新後のパッケージにアップグレードすることが推奨されています。ソリューション
影響を受けるheketi、heketi-client、python-heketiパッケージを更新してください。参考資料
http://www.nessus.org/u?c0b4fff9
https://access.redhat.com/errata/RHSA-2019:3255
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1577803
https://bugzilla.redhat.com/show_bug.cgi?id=1609553
https://bugzilla.redhat.com/show_bug.cgi?id=1636912
https://bugzilla.redhat.com/show_bug.cgi?id=1660681
https://bugzilla.redhat.com/show_bug.cgi?id=1701091
https://bugzilla.redhat.com/show_bug.cgi?id=1702162
https://bugzilla.redhat.com/show_bug.cgi?id=1710080
https://bugzilla.redhat.com/show_bug.cgi?id=1710996
プラグインの詳細
深刻度: Critical
ID: 130417
ファイル名: redhat-RHSA-2019-3255.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
公開日: 2019/10/31
更新日: 2024/4/27
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 7.5
現状値: 5.5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2019-3899
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:heketi, p-cpe:/a:redhat:enterprise_linux:heketi-client, p-cpe:/a:redhat:enterprise_linux:python-heketi, cpe:/o:redhat:enterprise_linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2019/10/30
脆弱性公開日: 2019/4/22
参照情報
CVE: CVE-2019-3899