SUSE SLES12セキュリティ更新プログラム:slurm_20_02(SUSE-SU-2020:3892-1)
critical Nessus プラグイン ID 144535
Language:
概要
リモートのSUSEホストに1つ以上のセキュリティ更新がありません。説明
このslurm_20_02の更新では、次の問題が修正されます:キャッシュサイドチャネル攻撃の軽減:
CVE-2020-27745:unpackmemの使用による潜在的なバッファオーバーフローを修正しました(bsc#1178890)。
CVE-2020-27746:xauthコマンドに対する引数として送信された場合の、マジッククッキーの潜在的な漏洩を修正しました(bsc#1178891)。
セキュリティ以外の修正された問題:
20.02.6に更新済み。完全なログと詳細については、次を参照してください:
-https://lists.schedmd.com/pipermail/slurm-announce/2020/000045.html
20.02.5に更新されました。変更は次のとおりです:
- ジョブ時間が変更されたときのTRESRunMinsの漏洩を修正します
--time-min
- pam_slurm - slurm構成を明示的に初期化して、構成不要モードをサポートします。
- scontrol - 間違ったフラグで予約を作成/更新した際の終了コードを修正します。
- GRESにno_consumeフラグがある場合、割り当て済みとして0を報告します。
- jobacct_gather/cgroupによるcgroupクリーンアップを修正します。
- 予約/ジョブを作成する場合、XORを使用しない限り、機能でのカウントを許可しません。
- ボード検出の数を改善します
- ゼロカウント予約の予約NodeCntの更新を修正します。
- slurmrestd - PSK認証が失敗した際に明確なエラーメッセージを提供します。
- cons_tres - ノードごとに単一のgresをリクエストするジョブにより、2つ以上のノードのCPUがタスクごとのリクエストを下回る問題を修正します。
- cons_tres - gresおよびcpus-per-taskを使用する場合のコアの計算を修正します。
- cons_tres - GPUがないか、GPUが--gpus-per-socketを下回るソケットにジョブがアクセスできない問題を修正します。ただし、必要なソケット上に使用可能なCPUが不足しており、次を使用していない場合:
--gres-flags=enforceバインド。
- HDF5型バージョンのビルドエラーを修正します。
- 最初のノードが利用できない場合のCoreCntのみの予約の作成を修正します。
- accounting_storage/noneを使用するときのsdiagの誤ったDBD Agentキューサイズを修正します。
- ジョブ制約のXORオプションロジックを改善します。
- 必要なノードがリーダーコンポーネントにないときのhenjobsのプリエンプションを修正します。
- 潜在的なプリエンプタージョブのノードビットマップを混乱させる、誤ったbit_or()を修正します。これにより、不適切なノード割り当て解除や、他のパーティションからのノードの割り当てが発生していました。
- プリエンプトされたリーダー以外のhenjobコンポーネントの二重割り当て解除を修正します。
- slurmdbd - 4095を超えるステップノードリストの切り捨てを回避します。
- ASAPオプションで再起動した後にノードがドレイン状態に留まる問題を修正します。
- 20.02.4からの変更:
- srun - PrologSlurmctldで待機中のジョブステップ作成の警告メッセージを抑制します。
- slurmrestd - data_list_for_each()関数の不適切な戻り値を修正します。
- mpi/pmix - HetJobsの起動に失敗する可能性があった問題を修正します。
- slurmrestd - 応答にcontent-typeヘッダーを設定します。
- 次のcons_res GRES過剰割り当てを修正します:
--gres-flags=disable-binding。
- cons_resが、次のGRESローカル性に関してコアを不適切にフィルタリングする問題を修正します:
--gres-flags=disable-bindingリクエスト。
- アンダースコアを使用する単一の配列における複数のジョブの依存関係により、最初のジョブのみが追加されていた回帰を修正します。
- slurmrestd - memcpy()の不適切な使用による破損した出力を修正します。
- slurmrestd - 多数のマイナーなCoverity警告に対処します。
- slurmstepdがsrunと適切に通信している場合の再試行の失敗を処理します。
- jobacct_gatherで、
_is_a_lwpエラーが表示される場合に統計が重複する可能性があった問題を修正します。
- 割り当てられたCPUに最も近いGRESにバインドするタスクを修正します。
- AMD GPU ROCM 3.5のサポートを修正します。
- 特定のステップをクエリする際のsacctのジョブ配列の処理を修正します。
- slurmrestd - JWT認証が無効な形式の場合、ローカルソケット認証へのフォールバックを回避します。
- slurmrestd - 異なる認証プラグインを使用するようにリクエストの機能を制限します。
- slurmrestd - 閉じる前に指定されたunixソケットのリンクを解除します。
- slurmrestd - openapi.jsonの無効なフォーマットを修正します。
- バッチジョブがフロントエンドモードでCF状態のままになるのを修正します。
- アクティブノード機能への変更を拒否する際に、別個の明示的なエラーメッセージを追加します。
- cons_common/job_test - 二重解放によるslurmctld SIGABRTを修正します。
- 開始時刻を更新する場合に期間を正しく設定するように予約の更新を修正します。
- 無作為モードへの予約の更新を修正します。
- ntasks-per-nodeが存在する場合のジョブタスクカウントの最大へのオーバーライドを修正します。
- ノードごとの最小CPUが少なくともリクエストされたタスクごとのCPUではない問題を修正します。
- コアあたりのGRESとスレッドを1とするようリクエストされた場合に、割り当てられたCPUをリクエストされたCPUに一致するよう修正します。
- NodeName構成の解析(ボードあり、CPUなし)を修正します。
- SrunProlog/Epilogで、SLURM_JOB_USERとSLURM_JOB_UIDが必ず設定されるようにします。
- 特定の無効なsalloc/sbatch/srunオプションのエラーメッセージを修正します。
- pmi2 - ステップ終了時にソケットをクリーンアップします。
-「JobName」で動作するように「scontrol hold」を修正します。
- sbatch - #SBATCHディレクティブの--uid/--gidを適切に処理します。
- slurmdでのジョブ終了時の競合状態を修正します。
- SlurmDBDなしでは機能できない特定の優先度/多要素を使用して実行しようとする場合、特定のエラーメッセージを出力します。
- --gpus-per-jobが満たされない場合、部分的なGRES割り当てを回避します。
- Cray - hetジョブ内で作成ステップを処理する際に、正しいスコープ外の変数を参照しないようにします。
- slurmrestd - accept()からの大きなアドレスを適切に処理します。
- その後の別のオプションで、SlurmctldParameters=max_dbd_msg_actionによる誤ったポインターの解放を回避します。
- 中断されたジョブが再開される際に、MCSラベルを復元します。
- 不十分なロックレベルを修正します。
- slurmrestd - ジョブサブミッションのerrnoを使用します。
- sacctmgr表示トランザクションの「ユーザー」フィルターを修正します。
- プリエンプションロジックを修正します。
- 排他的(ノード全体)リクエストのno_consume GRESを修正します。
- ジョブの--distribution=planeをリクエストする際にslurmctldで無限ループを引き起こしていた、20.02での回帰を修正します。
- --distributionオプションの解析を修正します。
- CONF READ_LOCKを_handle_fed_send_job_syncに追加します。
- prep/script - 常にslurmctld PrEpコールバックを
_run_script()で呼び出します。
- GPUまたは次を使用するジョブのノード推定を修正します:
--cpus-per-task。
- それぞれのLuaスクリプトがロードに失敗した場合の不適切なリターン処理により、slurmctldおよび/またはジョブ送信CLIツールでセグメンテーション違反を引き起こす、jobcomp、job_submit、cli_filterのLua実装プラグインを修正します。
- hetjobコンポーネントを通じたgpuオプションの伝播を修正します。
- SLURM_CLUSTERS環境変数をscancelに追加します。
-「リンク解除」ジョブのパック/アンパックを修正します。
- --ptyで起動したステップの場合、slurmstepdのstderrをsrunに接続します。
- 排他的割り当てを行う際にMPSを正しく処理します。
- slurmrestd - 非デフォルトパスのlibhttpparserに対するコンパイルを修正します。
- slurmrestd - libhttpparser 2.6未満でのコンパイル問題を回避します。
- 次を使用せずにslurmrestdをコンパイルする際のコンパイルの問題を修正します:
--enable-debug。
- パージされる予約のアイドル時間をリセットします。
- Purge_comp=を含む繰り返される予約がパージされた場合に、正しい期間を維持するように修正します。
- scontrol -「PROMISCUOUS」フラグを「MAGNETIC」に変更しました
- no_consumeの場合にepilog_set_envから早期復帰します。
-「will run test」の実行間で結果が偏らないように、cons_common/job_testの開始時間検出ロジックを修正します。
-「scontrol reconfigure」中にTRESRunMinsの制限が維持されるようにします。
- ホスト検索失敗時のエラーメッセージを改善します。
注意:Tenable Network Securityは、前述の記述ブロックをSUSEセキュリティアドバイザリから直接抽出しています。Tenableでは、そこに新しい問題を追加することはせずに、できる限り自動的に整理と書式設定をするようにしています。
ソリューション
このSUSEセキュリティ更新プログラムをインストールするには、YaSTのonline_updateや「zypper patch」など、SUSEが推奨するインストール方法を使用してください。別の方法として、製品にリストされているコマンドを実行することができます:
SUSE Linux Enterprise Module for HPC 12:
zypper in -t patch SUSE-SLE-Module-HPC-12-2020-3892=1
参考資料
https://bugzilla.suse.com/show_bug.cgi?id=1178890
https://bugzilla.suse.com/show_bug.cgi?id=1178891
https://lists.schedmd.com/pipermail/slurm-announce/2020/000045.html
https://www.suse.com/security/cve/CVE-2020-27745/
プラグインの詳細
深刻度: Critical
ID: 144535
ファイル名: suse_SU-2020-3892-1.nasl
バージョン: 1.3
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2020/12/22
更新日: 2024/1/31
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Medium
基本値: 6.8
現状値: 5
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2020-27745
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:novell:suse_linux:libnss_slurm2_20_02, p-cpe:/a:novell:suse_linux:libnss_slurm2_20_02-debuginfo, p-cpe:/a:novell:suse_linux:libpmi0_20_02, p-cpe:/a:novell:suse_linux:libpmi0_20_02-debuginfo, p-cpe:/a:novell:suse_linux:libslurm35, p-cpe:/a:novell:suse_linux:libslurm35-debuginfo, p-cpe:/a:novell:suse_linux:perl-slurm_20_02, p-cpe:/a:novell:suse_linux:perl-slurm_20_02-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02, p-cpe:/a:novell:suse_linux:slurm_20_02-auth-none, p-cpe:/a:novell:suse_linux:slurm_20_02-auth-none-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-config, p-cpe:/a:novell:suse_linux:slurm_20_02-config-man, p-cpe:/a:novell:suse_linux:slurm_20_02-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-debugsource, p-cpe:/a:novell:suse_linux:slurm_20_02-devel, p-cpe:/a:novell:suse_linux:slurm_20_02-doc, p-cpe:/a:novell:suse_linux:slurm_20_02-lua, p-cpe:/a:novell:suse_linux:slurm_20_02-lua-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-munge, p-cpe:/a:novell:suse_linux:slurm_20_02-munge-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-node, p-cpe:/a:novell:suse_linux:slurm_20_02-node-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-pam_slurm, p-cpe:/a:novell:suse_linux:slurm_20_02-pam_slurm-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-plugins, p-cpe:/a:novell:suse_linux:slurm_20_02-plugins-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-slurmdbd, p-cpe:/a:novell:suse_linux:slurm_20_02-slurmdbd-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-sql, p-cpe:/a:novell:suse_linux:slurm_20_02-sql-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-sview, p-cpe:/a:novell:suse_linux:slurm_20_02-sview-debuginfo, p-cpe:/a:novell:suse_linux:slurm_20_02-torque, p-cpe:/a:novell:suse_linux:slurm_20_02-torque-debuginfo, cpe:/o:novell:suse_linux:12
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/SuSE/release, Host/SuSE/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2020/12/21
脆弱性公開日: 2020/11/27
参照情報
CVE: CVE-2020-27745, CVE-2020-27746