SUSE SLED15 / SLES15セキュリティ更新プログラム:salt(SUSE-SU-2020:0684-1)

critical Nessus プラグイン ID 134622

言語:

概要

リモートのSUSEホストに1つ以上のセキュリティ更新がありません。

説明

salt 用のこの更新では、次の問題を修正しています:

salt-masterをアップグレードするユーザー昇格の可能性を回避します(bsc#1157465)(CVE-2019-18897)

test_batch_asyncテストでの単体テストの失敗を修正します

Batch Async:非同期バッチ処理の実行後に例外を処理し、インスタンスを正しく登録解除して閉じることで、MWorkersのCPUスタベーションを回避します(bsc#1162327)

RHEL/CentOS 8はpython3の代わりにplatform-pythonを使用します

minion開始イベントでグレインを選択するための新しい構成オプション。

Astra Linux Common Editionの'os_family'グレインを修正します

認証されていない攻撃者が任意のコードを実行できるsalt-api NET APIを修正します(CVE-2019-17361)(bsc#1162504)

aptpkgモジュール内のmod_repoに無効なパラメーターを追加します。アトミック操作を伴うトークンを移動します。不正なAPIトークンファイルが削除されます(bsc#1160931)

partedとmkfs内のBtrfsとXFSのサポートが追加されました

aptモジュール用のlist_downloadedを追加して、事前ダウンロードのサポートを有効にします。virt.(pool|network)_get_xml関数を追加します

さまざまなlibvirtの更新:

- virt.pool_capabilities関数を追加します

- virt.pool_runningの改善

- virt.pool_deleted状態を追加します

- virt.network_defineにより、IP構成の追加が可能になります

virt:libvirt xmlへのカーネルブートパラメーターの追加

データ['run']が存在しない場合のスケジューラーを修正します(bsc#1159118)

すでに停止しているVM上で失敗しないようにvirt状態を修正します

returner rawfile_jsonへの属性の適用を修正します(bsc#1158940)

xfs:型が存在しない場合に失敗しないようにします(bsc#1153611)

virt.get_hypervisor関数の実行中のエラーを修正します

virt.full_infoの修正をupstream Saltに合わせて調整します

x509テストのログチェックを修正します

補間を使用せずにリポジトリ情報を読み取ります(bsc#1135656)

M2CryptoをSLE15以上に制限します

pycryptoをM2Cryptoに置き換えます(bsc#1165425)

注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。

ソリューション

このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。

別の方法として、製品にリストされているコマンドを実行することができます:

SUSE Linux Enterprise Module for Server Applications 15-SP1:zypper in
-t patch SUSE-SLE-Module-Server-Applications-15-SP1-2020-684=1

SUSE Linux Enterprise Module for Python2 15-SP1:zypper in -t patch SUSE-SLE-Module-Python2-15-SP1-2020-684=1

SUSE Linux Enterprise Module for Basesystem 15-SP1:zypper in -t patch SUSE-SLE-Module-Basesystem-15-SP1-2020-684=1

関連情報

https://bugzilla.suse.com/show_bug.cgi?id=1135656

https://bugzilla.suse.com/show_bug.cgi?id=1153611

https://bugzilla.suse.com/show_bug.cgi?id=1157465

https://bugzilla.suse.com/show_bug.cgi?id=1158940

https://bugzilla.suse.com/show_bug.cgi?id=1159118

https://bugzilla.suse.com/show_bug.cgi?id=1160931

https://bugzilla.suse.com/show_bug.cgi?id=1162327

https://bugzilla.suse.com/show_bug.cgi?id=1162504

https://bugzilla.suse.com/show_bug.cgi?id=1165425

https://www.suse.com/security/cve/CVE-2019-17361/

https://www.suse.com/security/cve/CVE-2019-18897/

http://www.nessus.org/u?f79fe232

プラグインの詳細

深刻度: Critical

ID: 134622

ファイル名: suse_SU-2020-0684-1.nasl

バージョン: 1.4

タイプ: local

エージェント: unix

公開日: 2020/3/16

更新日: 2022/5/18

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

リスク情報

VPR

リスクファクター: High

スコア: 7.4

CVSS v2

リスクファクター: High

Base Score: 7.2

Temporal Score: 5.3

ベクトル: AV:L/AC:L/Au:N/C:C/I:C/A:C

現状ベクトル: E:U/RL:OF/RC:C

CVSS スコアのソース: CVE-2019-18897

CVSS v3

リスクファクター: Critical

Base Score: 9.8

Temporal Score: 8.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2019-17361

脆弱性情報

CPE: p-cpe:/a:novell:suse_linux:python2-salt, p-cpe:/a:novell:suse_linux:python3-salt, p-cpe:/a:novell:suse_linux:salt, p-cpe:/a:novell:suse_linux:salt-api, p-cpe:/a:novell:suse_linux:salt-cloud, p-cpe:/a:novell:suse_linux:salt-doc, p-cpe:/a:novell:suse_linux:salt-master, p-cpe:/a:novell:suse_linux:salt-minion, p-cpe:/a:novell:suse_linux:salt-proxy, p-cpe:/a:novell:suse_linux:salt-ssh, p-cpe:/a:novell:suse_linux:salt-standalone-formulas-configuration, p-cpe:/a:novell:suse_linux:salt-syndic, cpe:/o:novell:suse_linux:15

必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2020/3/13

脆弱性公開日: 2020/1/17

参照情報

CVE: CVE-2019-17361, CVE-2019-18897