検出

Oracle Linux 8 : pcs (ELSA-2024-2953)

medium Nessus プラグイン ID 198015

Language:

概要

リモートの Oracle Linux ホストに、1 つ以上のセキュリティ更新プログラムがありません。

説明

リモートの Oracle Linux 8 ホストに、ELSA-2024-2953 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

 [0.10.18-2.0.1]
 - HAM-logo.png を汎用のものに置き換えます

 [0.10.18-2]
 - バンドルされた依存関係ラックの CVE-2024-25126、CVE-2024-26141、CVE-2024-26146 を修正しました。解決: RHEL-26445、RHEL-26447、RHEL-26449

 [0.10.18-1]
 - 最新のソースにリベース (CHANGELOG.md を参照) しました。解決: RHEL-7741

 [0.10.17-6]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - 新しい PCS Web インターフェースのプレビューを削除します。解決: RHEL-17280

 [0.10.17-5]
 - 最新の Upstream ソースにリベースしました (CHANGELOG.md を参照) 解決: RHEL-7584、RHEL-7668、RHEL-7729、RHEL-7731、RHEL-7732、RHEL-7741、RHEL-7742、RHEL-7743、RHEL-7745、RHEL-8467
 - 755 またはより厳格にバンドルされた Rubygem のアクセス許可を強化しました。解決: RHEL-7715

 [0.10.17-4]
 - 変更なし、新しい品質管理プロセスのエラーを修正しました
 - 解決: RHEL-15218

 [0.10.17-3]
 - 変更なし、新しい品質管理プロセスをテストしています
 - 解決: RHEL-15218

 [0.10.17-2]
 - Python により提供される場合、tarball を抽出する際にフィルターを使用してセキュリティを強化します (pcs config restore コマンド)
 - pcs プロパティ [config] --all および pcs プロパティ記述のコマンドで重複レコードを表示しません
 - 解決: rhbz#2218841 rhbz#2219388

 [0.10.17-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - バンドルされた rubygems を更新しました: tilt、puma
 - 解決:rhbz#2112259 rhbz#2163439 rhbz#2166289

 [0.10.16-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - バンドルされた依存関係を更新しました: dasite
 - バンドルされた Rubygems を追加しました: nio4r、puma
 - バンドルされた rubygems を削除しました: daemons、eventmachine、thin
 - バンドルされた rubygem を更新しました: backports、rack、rack-test、tilt
 - 解決: rhbz#1957591 rhbz#2022748 rhbz#2160555 rhbz#2163439 rhbz#2166289 rhbz#2166294 rhbz#2176490 rhbz#2178700 rhbz#2178707 rhbz#2179010 rhbz#2180378 rhbz#2189958

 [0.10.15-4]
 - クラスターが実行されていないときの sbd の有効化/無効化を修正しました
 - BuildRequires を追加しました: pam - ビルド中の tier0 テストに必要
 - 解決: rhbz#2166243

 [0.10.15-3]
 - stonith-watchdog-time プロパティの時間値を許可します
 - 多くのエージェントが適切に動作しないため、リソース/stonith エージェントのインスタンス属性の自己検証は現在既定で無効になっています
 - バンドルされている Rubygem を更新しました: rack、rack-protection、sinatra
 - ruby2_keywords のライセンスを追加しました
 - 解決: rhbz#2158804 rhbz#2159455

 [0.10.15-2]
 - 誤って構成されたリソースの検証を省略するときの警告を追加しました
 - pcs リソース構成コマンドのブール値および整数値の表示を修正しました
 - バンドルされている Rubygem を更新しました: ethon、json、rack-protection、sinatra
 - 解決: rhbz#2151166 rhbz#2151511

 [0.10.15-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - Python にバンドルされた依存関係 dateutil を更新しました
 - 解決: rhbz#2112002 rhbz#2112263 rhbz#2112291 rhbz#2132582

 [0.10.14-6]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - rubygem にバンドルされたパッケージを更新しました: mustermann、rack、rack-protection、rack-test、sinatra、tilt
 - 解決: rhbz#1816852 rhbz#1918527 rhbz#2112267 rhbz#2112291

 [0.10.14-4]
 - webui から sbd を有効にすることを修正しました
 - 解決: rhbz#2117650

 [0.10.14-3]
 - pcs クォーラムデバイスの削除を修正しました
 - 解決: rhbz#2115326

 [0.10.14-2]
 - 大文字と小文字を区別しないブースチケットモード値を修正しました
 - /etc/booth が存在するかどうかのブース同期チェックを修正しました
 - 解決: rhbz#1786964 rhbz#1791670

 [0.10.14-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - バンドルされた rubygems を更新しました: rack
 - 解決: rhbz#2059500 rhbz#2096787 rhbz#2097383 rhbz#2097391 rhbz#2097392 rhbz#2097393

 [0.10.13-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - pcs-web-ui を更新しました
 - バンドルされた rubygems を更新しました: backports、daemons、ethon ffi、json、ruby2_keywords、thin
 - 解決: rhbz#1730232 rhbz#1786964 rhbz#1791661 rhbz#1791670 rhbz#1874624 rhbz#1909904 rhbz#1950551 rhbz#1954099 rhbz#2019894 rhbz#2023845 rhbz#2059500 rhbz#2064805 rhbz#2068456

 [0.10.12-7]
 - バンドルされている Rubygem を更新しました: sinatra、rack-protection
 - 解決: rhbz#2081332

 [0.10.12-6]
 - OCF スキーマに準拠していない処理エージェントを修正しました
 - 解決: rhbz#2050274

 [0.10.12-5]
 - snmp クライアントを修正しました
 - 解決: rhbz#2047983

 [0.10.12-4]
 - Web UI における cluster destroy を修正しました
 - Web UI の covscan の問題を修正しました
 - 解決: rhbz#1970508

 [0.10.12-3]
 -「pcs resource move --autodelete」コマンドを修正しました
 - 利用できない fence-scsi ストレージデバイスの削除を修正しました
 - ocf linbit drdb エージェントの ocf 検証を修正しました
 - 空の cib の作成を修正しました
 - pcs-web-ui を更新しました
 - 解決: rhbz#1990784 rhbz#2022463 rhbz#2032997 rhbz#2036633

 [0.10.12-2]
 - エージェントメタデータを取得できないときの rsc update cmd を修正しました
 - corosync-qdevice の有効化を修正しました
 - 解決: rhbz#1384485 rhbz#2028902

 [0.10.12-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - pcs-web-ui を更新しました
 - 解決: rhbz#1552470 rhbz#1997011 rhbz#2017311 rhbz#2017312 rhbz#2024543 rhbz#2012128

 [0.10.11-2]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 -「PYTHONCOERCECLOCALE=0 のエクスポート」を削除しました
 - 解決:rhbz#1384485 rhbz#1936833 rhbz#1968088 rhbz#1990784 rhbz#2012128

 [0.10.11-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - pcs-web-ui を更新しました
 - wui パッチを有効化しました
 - 解決: rhbz#1533090 rhbz#1970508 rhbz#1997011 rhbz#2003066 rhbz#2003068 rhbz#2012128

 [0.10.10-2]
 - depth 操作属性によるリソースの作成を修正しました
 - 解決: rhbz#1998454

 [0.10.10-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - pcs-web-ui を更新しました
 - 解決:rhbz#1885293 rhbz#1847102 rhbz#1935594

 [0.10.9-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - 解決: rhbz#1432097 rhbz#1847102 rhbz#1935594 rhbz#1984901

 [0.10.8-4]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - 解決:rhbz#1759995 rhbz#1872378 rhbz#1935594

 [0.10.8-3]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - ゲーティングの変更
 - 解決: rhbz#1678273 rhbz#1690419 rhbz#1750240 rhbz#1759995 rhbz#1872378 rhbz#1909901 rhbz#1935594

 [0.10.8-2]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - pcs-web-ui を更新しました
 - 解決: rhbz#1285269 rhbz#1290830 rhbz#1720221 rhbz#1841019 rhbz#1854238 rhbz#1882291 rhbz#1885302 rhbz#1886342 rhbz#1896458 rhbz#1922996 rhbz#1927384 rhbz#1927394 rhbz#1930886 rhbz#1935594

 [0.10.8-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - pcs-web-ui を更新しました
 - python のバンドルされた依存関係を更新しました: dacite、dataclasses
 - 解決: rhbz#1457314 rhbz#1619818 rhbz#1667066 rhbz#1762816 rhbz#1794062 rhbz#1845470 rhbz#1856397 rhbz#1877762 rhbz#1917286

 [0.10.7-3]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - BuildRequires を追加します: make
 - 解決: rhbz#1667061 rhbz#1667066 rhbz#1774143 rhbz#1885658

 [0.10.7-2]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - BuildRequires を git から git-core に変更しました
 - 解決:rhbz#1869399 rhbz#1885658 rhbz#1896379

 [0.10.7-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - Python のバンドルされた依存関係 dateutil を追加しました
 - ember、handelbars、jquery および jquery-ui 用の仮想バンドルプロバイダーを修正しました
 - 解決: rhbz#1222691 rhbz#1741056 rhbz#1851335 rhbz#1862966 rhbz#1869399 rhbz#1873691 rhbz#1875301 rhbz#1883445 rhbz#1885658 rhbz#1885841

 [0.10.6-4]
 - and-or ルールが混在したリソースと操作の既定により発生していた無効な CIB エラーを修正しました
 - pcs-web-ui を更新しました
 - 解決: rhbz#1867516

 [0.10.6-3]
 -「ユーザーがオンfail=demoteを指定した場合に CIB をアップグレード」を追加しました
 - バイナリストリッピングチェッカーで rpmdiff の問題を修正しました
 - タグ付けされたリソースグループまたはクローンを削除することによる、空でないタグの削除を修正しました
 - 解決: rhbz#1843079 rhbz#1857295

 [0.10.6-2]
 - 特定のリソース/操作タイプに適用されるリソースと操作の既定を追加しました
 - Requires/BuildRequires を追加しました: python3-pyparsing
 - Requires: logrotate を追加しました
 - リソースと stonith のドキュメントを修正しました
 - rubygem ライセンスを修正しました
 - update_times() を修正しました
 - rubygem rack をバージョン 2.2.3 に更新しました
 - BuildRequires execstack を削除しました (不要です)
 - 解決: rhbz#1805082 rhbz#1817547

 [0.10.6-1]
 - 最新の Upstream ソースにリベース (CHANGELOG.md を参照) しました
 - python のバンドルされた依存関係を追加しました: dacite、dataclasses
 - 新たにバンドルされた rubygem ruby2_keywords を追加しました
 - rubygem にバンドルされたパッケージを更新しました: backports、ethon、ffi、json、mustermann、rack、rack_protection、rack_test、sinatra、tilt
 - pcs-web-ui を更新しました
 - テストの実行を更新しました。ビルド中には tier0 テストのみが実行されます
 - ビルドで削除されていた tier1 テストに必要な BuildRequires を削除しました (pacemaker-cli、fence_agents-*、fence_virt、boos-site)
 - 解決: rhbz#1387358 rhbz#1684676 rhbz#1722970 rhbz#1778672 rhbz#1782553 rhbz#1790460 rhbz#1805082 rhbz#1810017 rhbz#1817547 rhbz#1830552 rhbz#1832973 rhbz#1833114 rhbz#1833506 rhbz#1838853 rhbz#1839637

 [0.10.4-6]
 - python と ruby のデーモン間の通信を修正しました
 - 解決: rhbz#1783106

 [0.10.4-5]
 - sbd enable doc から sbd man ページへのリンクを修正しました
 - クローン、グループ、バンドルの安全な無効化を修正しました
 - sinatra ラッパーのパフォーマンス問題を修正しました
 - フェンス履歴サポートの検出を修正しました
 - クッキーオプションを修正しました
 -「resource create ... master」のヒントを更新しました
 - ゲートテストの実行を更新しました。スモークテストは Upstream ソースから実行されます
 - 解決: rhbz#1750427 rhbz#1781303 rhbz#1783106 rhbz#1793574

 [0.10.4-4]
 - pacemaker-2.0.3-4 用の testsuite を修正します
 - 解決: rhbz#1792946

 [0.10.4-3]
 - 新しい webUI で基本的なリソースビューを追加しました

Tenable は、前述の記述ブロックを Oracle Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるpcsパッケージおよび/またはpcs-snmpパッケージを更新してください。

参考資料

https://linux.oracle.com/errata/ELSA-2024-2953.html

プラグインの詳細

深刻度: Medium

ID: 198015

ファイル名: oraclelinux_ELSA-2024-2953.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

公開日: 2024/5/28

更新日: 2024/5/28

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.4

CVSS v2

リスクファクター: High

基本値: 7.8

現状値: 5.8

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:C

CVSS スコアのソース: CVE-2024-26141

CVSS v3

リスクファクター: Medium

基本値: 5.8

現状値: 5.1

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:N/A:L

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:oracle:linux:pcs, cpe:/a:oracle:linux:8::addons, p-cpe:/a:oracle:linux:pcs-snmp, cpe:/o:oracle:linux:8

必要な KB アイテム: Host/OracleLinux, Host/RedHat/release, Host/RedHat/rpm-list, Host/local_checks_enabled

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2024/5/23

脆弱性公開日: 2024/2/28

参照情報

CVE: CVE-2024-25126, CVE-2024-26141, CVE-2024-26146