RHEL 6 : CloudForms System Engine 1.1.2 の更新プログラム (重要度中) (RHSA-2013:0547)

medium Nessus プラグイン ID 210166

概要

リモートの Red Hat ホストに 1 つ以上のセキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 6 ホストに、RHSA-2013:0547 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

Red Hat CloudForms は、プライベートクラウドおよびパブリッククラウドの作成と管理を可能にする、オンプレミスのハイブリッドクラウド Infrastructure-as-a-Service (IaaS) 製品です。これは、管理および統制された安全な方法でユーザーにセルフサービスコンピューティングリソースを提供します。CloudForms システムエンジンを使用して、新しいシステムを設定し、更新をサブスクリプションし、分散環境へのインストールを維持できます。

インストールおよび設定プロセス中に実行している「/usr/share/katello/script/katello-generate-passphrase」ユーティリティは、「/etc/katello/secure/passphrase」ファイルで誰でも読み取りできるアクセス許可が設定されていることが見つかりました。ローカルの攻撃者がこの欠陥を使用して、Katello のパスフレーズを取得し、通常ではアクセス権のない情報に対するアクセスを与える可能性があります。
(CVE-2012-5561)

注: この更新をインストールした後、「/etc/katello/secure/passphrase」ファイルが、root ユーザーおよびグループ、モード 0750 権限で所有されていることを確認してください。この問題がローカルユーザーも対象として含めるため、サイトは Katello パスフレーズの再作成を考慮する必要があります。

katello-configure ユーティリティが実行するタスクの 1 つは、Katello サーバーに接続する必要があるクライアントマシンにインストールする RPM を作成することです。この RPM が、Katello サーバーを信頼するために使用される pem ファイル (認証局による証明書を含む) に、グローバルな読み取りおよび書き込み可能なアクセス許可を設定していることが判明しました。攻撃者はこの欠陥を利用して中間者攻撃を実行し、Katello クライアントシステムを管理 (ソフトウェアのインストールと削除など) できるようになる可能性があります。(CVE-2012-6116)

CVE-2012-5561 の問題は、Red Hat Cloud Quality Engineering チームの Aaron Weitekamp 氏により発見されました。また、CVE-2012-6116 は、Red Hat の Dominic Cleal 氏および James Laska 氏により発見されました。

この更新では、次のバグも修正しています。

* CloudForms システムエンジンコマンドラインツールがローカルを正しく解析したため、次のエラーが発生しました。

変換がありません: de.activerecord.errors.messages.record_invalid

この更新は、ロケールを設定するためにコントローラーを置き換えます。変換エラーは表示されなくなりました。(BZ#896251)

* 特定のロケールで、新しいロール作成用の特定の UI コンテンツが適切にエスケープされませんでした。このため、一部のローカルの [保存] ボタンが機能しません。この更新は、ローカル化された UI コンテンツのエスケープ動作を修正します。[保存] ボタンが新しいロール作成時に機能するようになりました。(BZ#896252)

* アイコンが表示されないため、ユーザーが最近または保存した検索を削除できなくなりました。この更新により、アイコンが追加され、ユーザーは最近の検索や保存された検索を削除できるようになります。
(BZ#896253)

* Candlepin 0.7.8 コンポーネントのパフォーマンスの問題により、CloudForms システムエンジンをサブスクリプションするシステムの数が増加するにつれ、サブスクリプションの応答性が低下します。このエラーは、パフォーマンスの問題を修正する Candlepin 0.7.19 に更新されます。(BZ#896261)

* CloudForms システムエンジンは、拡張更新サービス (EUS) エンタイトルメントを取得しませんでした。これにより、ユーザーは EUS リポジトリを表示および有効化できませんでした。この更新により、マニフェストのアップロードおよび削除コードが修正され、エンタイトルメントを取得する動作も修正されます。システムエンジンが EUS エンタイトルメントを取得するようになりました。(BZ#896265)

* メニュー幅の問題により、ローカライズされた UI が特定のメニュー項目をレンダリングしませんでした。この更新により、システムエンジン UI の形式が修正されます。ウェブ UI はメニューアイテムを正しくレンダリングするようになりました。(BZ#903702)

このリリースの詳細については、『CloudForms 1.1.2 リリースノート』を参照してください。リリースノートは間もなく、https://access.redhat.com/knowledge/docs/からアクセスできるようになります。

アップグレードするには、『CloudForms インストールガイド』のセクション 4.1にあるアップグレード手順に従ってください。CloudForms システムエンジンのアップグレード:

https://access.redhat.com/knowledge/docs/en-US/CloudForms/1.1/html/Installation_Guide/index.html

CloudForms システムエンジンのユーザーは、これらの更新済みパッケージへアップグレードすることが推奨されます。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#moderate

https://access.redhat.com/knowledge/docs/

http://www.nessus.org/u?b59a1d3b

https://bugzilla.redhat.com/show_bug.cgi?id=807455

https://bugzilla.redhat.com/show_bug.cgi?id=879094

https://bugzilla.redhat.com/show_bug.cgi?id=896251

https://bugzilla.redhat.com/show_bug.cgi?id=896253

https://bugzilla.redhat.com/show_bug.cgi?id=896261

https://bugzilla.redhat.com/show_bug.cgi?id=896265

https://bugzilla.redhat.com/show_bug.cgi?id=903702

https://bugzilla.redhat.com/show_bug.cgi?id=904128

https://bugzilla.redhat.com/show_bug.cgi?id=906207

https://bugzilla.redhat.com/show_bug.cgi?id=907250

http://www.nessus.org/u?81011277

https://access.redhat.com/errata/RHSA-2013:0547

プラグインの詳細

深刻度: Medium

ID: 210166

ファイル名: redhat-RHSA-2013-0547.nasl

バージョン: 1.2

タイプ: local

エージェント: unix

公開日: 2024/11/4

更新日: 2025/4/15

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: Low

基本値: 2.1

現状値: 1.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N

CVSS スコアのソース: CVE-2012-6116

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 4.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

CVSS スコアのソース: CVE-2012-5561

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:katello-selinux, p-cpe:/a:redhat:enterprise_linux:katello-configure, p-cpe:/a:redhat:enterprise_linux:katello-glue-pulp, p-cpe:/a:redhat:enterprise_linux:katello-all, p-cpe:/a:redhat:enterprise_linux:katello, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:candlepin-devel, p-cpe:/a:redhat:enterprise_linux:katello-common, p-cpe:/a:redhat:enterprise_linux:katello-glue-candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:katello-cli, p-cpe:/a:redhat:enterprise_linux:katello-cli-common, p-cpe:/a:redhat:enterprise_linux:katello-api-docs, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/2/21

脆弱性公開日: 2013/2/21

参照情報

CVE: CVE-2012-5561, CVE-2012-6116

RHSA: 2013:0547