RHEL 7 : CFME 5.6.3 (RHSA-2016:2839)
high Nessus プラグイン ID 233050
Language:
概要
リモートの Red Hat ホストにセキュリティ更新プログラムが適用されていません。説明
リモート Redhat Enterprise Linux 7 ホストに、RHSA-2016:2839 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。Red Hat CloudForms Management Engine は、仮想環境の管理の課題に対処する上で必要なインサイト、制御、自動化を提供します。CloudForms Management Engineは、Webアプリケーション開発用のmodel-view-controller(MVC)フレームワークであるRuby on Rails上にビルドされています。Action Packは、コントローラーとビューのコンポーネントを実装します。
セキュリティ修正プログラム:
* 容量と使用率がインポートされた制御ファイルが処理される方法に、コードインジェクションの欠陥が見つかりました。容量と使用率の機能にアクセスできるリモートの認証された攻撃者がこの欠陥を利用して、CFME が実行されているユーザーが任意のコードを実行する可能性があります。(CVE-2016-5402)
この問題は、Simon Lukasik 氏 (Red Hat) により発見されました。
追加の変更:
また、この更新プログラムでは複数のバグが修正され、さまざまな拡張機能が追加されます。重要な変更には以下のものが含まれています。
Automate コンポーネントに対する変更:
* CloudForms のこのリリースでは、ホストを指定せずにクラスターを検証することなく、仮想マシンをプロビジョニングできます。CloudForms は、VMware でのプロビジョニング時に、ホストとクラスターのどちらが選択されているかを検証するようになりました。(BZ#1378116)
Providers コンポーネントに対する変更:
* CloudForms の以前のバージョンでは、VNC コンソールをインスタンスに開こうとすると、CloudForms はそのテナントに対してインスタンスが存在しないため接続に失敗しました - 間違ったテナントを使用しようとしました。この更新では、VNC コンソールを開くときのテナントを指定して、問題を解決しました。
CloudForms はエラーなしで正常に接続できるようになりました。(BZ#1370207)
Provisioning コンポーネントに対する変更:
* 以前のバージョンの CloudForms では、ターゲットのデータセンターが複数のフォルダーの下にネストされている場合、VMware テンプレートの複製に失敗していました。これは、データセンターがさまざまなフォルダーの下に論理的にネストされている場合、ユーザーが自動配置の VMware プロビジョニングリクエスト中に配置 ID を見つけることができなかったためです。この修正では、間違っている可能性があるデフォルト値を静的に設定する代わりに、ホストデータセンターから常にフォルダーパスの検索を行うことで、問題を解決しています。(BZ#1361174)
レプリケーションコンポーネントに対する変更:
* CloudForms の以前のバージョンでは、正常に保存されたレプリケーションサブスクリプションのサブスクリプション検証が失敗していました。これは、現在保存されているサブスクリプションのパスワードにアクセスできない UI によって検証が直接実行されたためです。最初にサブスクリプションを保存するときにユーザーがパスワードを入力した場合、検証は合格となりますが、サブスクリプションをデータベースから取得する必要が生じた場合は失敗です。この更新では、保存されたレプリケーションサブスクリプションの検証失敗が修正されています。(BZ#1378554)
脆弱性コンポーネントに対する変更:
* 容量と使用率がインポートされた制御ファイルが処理される方法に、コードインジェクションの欠陥が見つかりました。容量と使用率の機能にアクセスできるリモートの認証された攻撃者がこの欠陥を利用して、CFME が実行されているユーザーが任意のコードを実行する可能性があります。(BZ#1357559)
* CloudForms の以前のバージョンでは、サブネット / ルーター / セキュリティグループ / 浮動 IP / ネットワークポートにフィルターを保存しようとすると、例外が表示されました。これは、ネットワークリソースのルートがないことが原因でした。この更新により、欠落しているネットワークリソースのルートが追加され、問題が解決されました。
(BZ#1370573)
* 以前のバージョンの CloudForms では、データストアのマイフィルターがクリックできず、その下にフィルターが表示されませんでした。この更新により、データストアのマイフィルターが有効になり、問題が解決しました。(BZ#1379727)
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=1346967
https://bugzilla.redhat.com/show_bug.cgi?id=1346969
https://bugzilla.redhat.com/show_bug.cgi?id=1347002
https://bugzilla.redhat.com/show_bug.cgi?id=1349413
https://bugzilla.redhat.com/show_bug.cgi?id=1357559
https://bugzilla.redhat.com/show_bug.cgi?id=1358324
https://bugzilla.redhat.com/show_bug.cgi?id=1361174
https://bugzilla.redhat.com/show_bug.cgi?id=1362632
https://bugzilla.redhat.com/show_bug.cgi?id=1368162
https://bugzilla.redhat.com/show_bug.cgi?id=1368172
https://bugzilla.redhat.com/show_bug.cgi?id=1370207
https://bugzilla.redhat.com/show_bug.cgi?id=1370570
https://bugzilla.redhat.com/show_bug.cgi?id=1370573
https://bugzilla.redhat.com/show_bug.cgi?id=1370576
https://bugzilla.redhat.com/show_bug.cgi?id=1372768
https://bugzilla.redhat.com/show_bug.cgi?id=1375206
https://bugzilla.redhat.com/show_bug.cgi?id=1376145
https://bugzilla.redhat.com/show_bug.cgi?id=1376514
https://bugzilla.redhat.com/show_bug.cgi?id=1376516
https://bugzilla.redhat.com/show_bug.cgi?id=1376519
https://bugzilla.redhat.com/show_bug.cgi?id=1376521
https://bugzilla.redhat.com/show_bug.cgi?id=1376525
https://bugzilla.redhat.com/show_bug.cgi?id=1376526
https://bugzilla.redhat.com/show_bug.cgi?id=1377417
https://bugzilla.redhat.com/show_bug.cgi?id=1377418
https://bugzilla.redhat.com/show_bug.cgi?id=1378116
https://bugzilla.redhat.com/show_bug.cgi?id=1378173
https://bugzilla.redhat.com/show_bug.cgi?id=1378554
https://bugzilla.redhat.com/show_bug.cgi?id=1379692
https://bugzilla.redhat.com/show_bug.cgi?id=1379693
https://bugzilla.redhat.com/show_bug.cgi?id=1379694
https://bugzilla.redhat.com/show_bug.cgi?id=1379697
https://bugzilla.redhat.com/show_bug.cgi?id=1379727
https://bugzilla.redhat.com/show_bug.cgi?id=1379728
https://bugzilla.redhat.com/show_bug.cgi?id=1380107
https://bugzilla.redhat.com/show_bug.cgi?id=1380170
https://bugzilla.redhat.com/show_bug.cgi?id=1381624
https://bugzilla.redhat.com/show_bug.cgi?id=1382072
https://bugzilla.redhat.com/show_bug.cgi?id=1382074
https://bugzilla.redhat.com/show_bug.cgi?id=1382164
https://bugzilla.redhat.com/show_bug.cgi?id=1382406
https://bugzilla.redhat.com/show_bug.cgi?id=1382408
https://bugzilla.redhat.com/show_bug.cgi?id=1382753
https://bugzilla.redhat.com/show_bug.cgi?id=1382819
https://bugzilla.redhat.com/show_bug.cgi?id=1382826
https://bugzilla.redhat.com/show_bug.cgi?id=1382834
https://bugzilla.redhat.com/show_bug.cgi?id=1382835
https://bugzilla.redhat.com/show_bug.cgi?id=1382836
https://bugzilla.redhat.com/show_bug.cgi?id=1382837
https://bugzilla.redhat.com/show_bug.cgi?id=1382846
https://bugzilla.redhat.com/show_bug.cgi?id=1382847
https://bugzilla.redhat.com/show_bug.cgi?id=1383368
https://bugzilla.redhat.com/show_bug.cgi?id=1383466
https://bugzilla.redhat.com/show_bug.cgi?id=1383469
https://bugzilla.redhat.com/show_bug.cgi?id=1383470
https://bugzilla.redhat.com/show_bug.cgi?id=1383497
https://bugzilla.redhat.com/show_bug.cgi?id=1385156
https://bugzilla.redhat.com/show_bug.cgi?id=1385173
https://bugzilla.redhat.com/show_bug.cgi?id=1386792
https://bugzilla.redhat.com/show_bug.cgi?id=1386793
https://bugzilla.redhat.com/show_bug.cgi?id=1386794
https://bugzilla.redhat.com/show_bug.cgi?id=1386797
https://bugzilla.redhat.com/show_bug.cgi?id=1388984
https://bugzilla.redhat.com/show_bug.cgi?id=1389025
https://bugzilla.redhat.com/show_bug.cgi?id=1389760
https://bugzilla.redhat.com/show_bug.cgi?id=1389790
https://bugzilla.redhat.com/show_bug.cgi?id=1390697
https://bugzilla.redhat.com/show_bug.cgi?id=1390698
https://bugzilla.redhat.com/show_bug.cgi?id=1390724
https://bugzilla.redhat.com/show_bug.cgi?id=1391710
https://bugzilla.redhat.com/show_bug.cgi?id=1391721
https://bugzilla.redhat.com/show_bug.cgi?id=1391764
https://bugzilla.redhat.com/show_bug.cgi?id=1391980
https://bugzilla.redhat.com/show_bug.cgi?id=1392561
https://bugzilla.redhat.com/show_bug.cgi?id=1392964
https://bugzilla.redhat.com/show_bug.cgi?id=1393061
https://bugzilla.redhat.com/show_bug.cgi?id=1395305
https://bugzilla.redhat.com/show_bug.cgi?id=1396665
https://bugzilla.redhat.com/show_bug.cgi?id=1397093
https://bugzilla.redhat.com/show_bug.cgi?id=1397095
https://bugzilla.redhat.com/show_bug.cgi?id=1397516
https://bugzilla.redhat.com/show_bug.cgi?id=1399285
プラグインの詳細
深刻度: High
ID: 233050
ファイル名: redhat-RHSA-2016-2839.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2025/3/20
更新日: 2025/3/20
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
Vendor
Vendor Severity: Important
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2016-5402
CVSS v3
リスクファクター: High
基本値: 8.8
現状値: 7.7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:freeipmi-ipmiseld, p-cpe:/a:redhat:enterprise_linux:freeipmi, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:freeipmi-devel, p-cpe:/a:redhat:enterprise_linux:freeipmi-bmc-watchdog, p-cpe:/a:redhat:enterprise_linux:cfme-appliance, p-cpe:/a:redhat:enterprise_linux:freeipmi-ipmidetectd, p-cpe:/a:redhat:enterprise_linux:cfme-gemset, p-cpe:/a:redhat:enterprise_linux:cfme
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2016/11/30
脆弱性公開日: 2016/11/30
参照情報
CVE: CVE-2016-5402