RHEL 6 : CloudForms System Engine 1.1.2 の更新プログラム (重要度中) (RHSA-2013:0547)
medium Nessus プラグイン ID 210166
Language:
概要
リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。説明
リモート Redhat Enterprise Linux 6 ホストに、RHSA-2013:0547 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。Red Hat CloudForms は、プライベートクラウドおよびパブリッククラウドの作成と管理を可能にする、オンプレミスのハイブリッドクラウド Infrastructure-as-a-Service (IaaS) 製品です。これは、管理および統制された安全な方法でユーザーにセルフサービスコンピューティングリソースを提供します。CloudForms システムエンジンを使用して、新しいシステムを設定し、更新をサブスクリプションし、分散環境へのインストールを維持できます。
インストールおよび設定プロセス中に実行している「/usr/share/katello/script/katello-generate-passphrase」ユーティリティは、「/etc/katello/secure/passphrase」ファイルで誰でも読み取りできるアクセス許可が設定されていることが見つかりました。ローカルの攻撃者がこの欠陥を使用して、Katello のパスフレーズを取得し、通常ではアクセス権のない情報に対するアクセスを与える可能性があります。
(CVE-2012-5561)
注: この更新をインストールした後、「/etc/katello/secure/passphrase」ファイルが、root ユーザーおよびグループ、モード 0750 権限で所有されていることを確認してください。この問題がローカルユーザーも対象として含めるため、サイトは Katello パスフレーズの再作成を考慮する必要があります。
katello-configure ユーティリティが実行するタスクの 1 つは、Katello サーバーに接続する必要があるクライアントマシンにインストールする RPM を作成することです。この RPM が、Katello サーバーを信頼するために使用される pem ファイル (認証局による証明書を含む) に、グローバルな読み取りおよび書き込み可能なアクセス許可を設定していることが判明しました。攻撃者はこの欠陥を利用して中間者攻撃を実行し、Katello クライアントシステムを管理 (ソフトウェアのインストールと削除など) できるようになる可能性があります。(CVE-2012-6116)
CVE-2012-5561 の問題は、Red Hat Cloud Quality Engineering チームの Aaron Weitekamp 氏により発見されました。また、CVE-2012-6116 は、Red Hat の Dominic Cleal 氏および James Laska 氏により発見されました。
この更新では、次のバグも修正しています。
* CloudForms システムエンジンコマンドラインツールがローカルを正しく解析したため、次のエラーが発生しました。
変換がありません: de.activerecord.errors.messages.record_invalid
この更新は、ロケールを設定するためにコントローラーを置き換えます。変換エラーは表示されなくなりました。(BZ#896251)
* 特定のロケールで、新しいロール作成用の特定の UI コンテンツが適切にエスケープされませんでした。このため、一部のローカルの [保存] ボタンが機能しません。この更新は、ローカル化された UI コンテンツのエスケープ動作を修正します。[保存] ボタンが新しいロール作成時に機能するようになりました。(BZ#896252)
* アイコンが表示されないため、ユーザーが最近または保存した検索を削除できなくなりました。この更新により、アイコンが追加され、ユーザーは最近の検索や保存された検索を削除できるようになります。
(BZ#896253)
* Candlepin 0.7.8 コンポーネントのパフォーマンスの問題により、CloudForms システムエンジンをサブスクリプションするシステムの数が増加するにつれ、サブスクリプションの応答性が低下します。このエラーは、パフォーマンスの問題を修正する Candlepin 0.7.19 に更新されます。(BZ#896261)
* CloudForms システムエンジンは、拡張更新サービス (EUS) エンタイトルメントを取得しませんでした。これにより、ユーザーは EUS リポジトリを表示および有効化できませんでした。この更新により、マニフェストのアップロードおよび削除コードが修正され、エンタイトルメントを取得する動作も修正されます。システムエンジンが EUS エンタイトルメントを取得するようになりました。(BZ#896265)
* メニュー幅の問題により、ローカライズされた UI が特定のメニュー項目をレンダリングしませんでした。この更新により、システムエンジン UI の形式が修正されます。ウェブ UI はメニューアイテムを正しくレンダリングするようになりました。(BZ#903702)
このリリースの詳細については、『CloudForms 1.1.2 リリースノート』を参照してください。リリースノートは間もなく、https://access.redhat.com/knowledge/docs/からアクセスできるようになります。
アップグレードするには、『CloudForms インストールガイド』のセクション 4.1にあるアップグレード手順に従ってください。CloudForms システムエンジンのアップグレード:
https://access.redhat.com/knowledge/docs/en-US/CloudForms/1.1/html/Installation_Guide/index.html
CloudForms システムエンジンのユーザーは、これらの更新済みパッケージへアップグレードすることが推奨されます。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/knowledge/docs/
http://www.nessus.org/u?b59a1d3b
https://bugzilla.redhat.com/show_bug.cgi?id=807455
https://bugzilla.redhat.com/show_bug.cgi?id=879094
https://bugzilla.redhat.com/show_bug.cgi?id=896251
https://bugzilla.redhat.com/show_bug.cgi?id=896253
https://bugzilla.redhat.com/show_bug.cgi?id=896261
https://bugzilla.redhat.com/show_bug.cgi?id=896265
https://bugzilla.redhat.com/show_bug.cgi?id=903702
https://bugzilla.redhat.com/show_bug.cgi?id=904128
https://bugzilla.redhat.com/show_bug.cgi?id=906207
https://bugzilla.redhat.com/show_bug.cgi?id=907250
プラグインの詳細
深刻度: Medium
ID: 210166
ファイル名: redhat-RHSA-2013-0547.nasl
バージョン: 1.2
タイプ: local
エージェント: unix
公開日: 2024/11/4
更新日: 2025/4/15
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Low
基本値: 2.1
現状値: 1.6
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N
CVSS スコアのソース: CVE-2012-6116
CVSS v3
リスクファクター: Medium
基本値: 5.5
現状値: 4.8
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
CVSS スコアのソース: CVE-2012-5561
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:katello-selinux, p-cpe:/a:redhat:enterprise_linux:katello-configure, p-cpe:/a:redhat:enterprise_linux:katello-glue-pulp, p-cpe:/a:redhat:enterprise_linux:katello-all, p-cpe:/a:redhat:enterprise_linux:katello, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:candlepin-devel, p-cpe:/a:redhat:enterprise_linux:katello-common, p-cpe:/a:redhat:enterprise_linux:katello-glue-candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:katello-cli, p-cpe:/a:redhat:enterprise_linux:katello-cli-common, p-cpe:/a:redhat:enterprise_linux:katello-api-docs, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/2/21
脆弱性公開日: 2013/2/21
参照情報
CVE: CVE-2012-5561, CVE-2012-6116
RHSA: 2013:0547