RHEL 7 : python-django-horizon および python-django-openstack-auth の更新 (重要度中) (RHSA-2015:0839)
high Nessus プラグイン ID 233186
Language:
概要
リモートの Red Hat ホストにセキュリティ更新プログラムが適用されていません。説明
リモート Redhat Enterprise Linux 7 ホストに、RHSA-2015:0839 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。OpenStack ダッシュボード (horizon) は、クラウドベースのリソースにアクセスし、プロビジョニングし、自動化するためのグラフィカルインターフェイスを管理者とユーザーに提供します。
ダッシュボードを使用すると、クラウド管理者はクラウドの規模と状態の全体像を把握でき、エンドユーザーには管理者が設定した制限内で独自のリソースをプロビジョニングするためのセルフサービスポータルを提供します。
db または memcached セッションエンジンを使用する際に、OpenStack ダッシュボード (horizon) でサービス拒否の欠陥が見つかりました。攻撃者は、ログインページに対してリクエストを繰り返し行うことができます。これにより、多数の不要なバックエンドセッションエントリが作成され、サービス拒否が発生する可能性があります。(CVE-2014-8124)
Red Hat は、この問題を報告してくれた OpenStack プロジェクトに感謝の意を表します。
Upstream は、Time Warner Cable の Eric Peterson 氏を最初の報告者として認めています。
python-django-horizon パッケージは、上流のバージョン 2014.1.4 にアップグレードされており、以下を含めて、以前のバージョンに対する多数のバグ修正を提供します。
* デフォルトの「target={}」値が、後続の「policy.check()」呼び出しに漏洩します。
* Neutron サブネット作成ツールチップに無効な HTML タグがあります。
* 管理者ダッシュボードで、メモリが不適切に報告されます。
* コンテナダッシュボードは、unicode URL を正しく処理しません。
(BZ#1203281)
この更新では、次のバグも修正しています。
* オプション「OPENSTACK_SSL_NO_VERIFY」は、SSL 証明書の有効性のチェックを有効または無効にするために使用されます。この更新が出る前は、Swift クライアントはこのチェックを無視していました。その結果、horizon を swift で使用できず、swift は自己署名証明書を介してアクセスされていました。この更新により、このオプションが適切に処理されるようになり、「OPENSTACK_SSL_NO_VERIFY」オプションが有効な場合でも、Horizon はこのエンドポイントを使用できるようになります。(BZ#1192517)
* 以前は、horizon.log が自動的に切り捨てられず、ログファイルが非常に大きくなりました。この更新では、ファイルが logrotate によってトリミングされるようになり、この問題が修正されます。(BZ#1112621)
すべての OpenStack Dashboard ユーザーに、これらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。
Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/security/updates/classification/#moderate
http://www.nessus.org/u?8079b7df
https://bugzilla.redhat.com/show_bug.cgi?id=1112621
https://bugzilla.redhat.com/show_bug.cgi?id=1168575
https://bugzilla.redhat.com/show_bug.cgi?id=1169637
https://bugzilla.redhat.com/show_bug.cgi?id=1192517
https://bugzilla.redhat.com/show_bug.cgi?id=1203281
プラグインの詳細
深刻度: High
ID: 233186
ファイル名: redhat-RHSA-2015-0839.nasl
バージョン: 1.1
タイプ: local
エージェント: unix
公開日: 2025/3/21
更新日: 2025/3/21
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
Vendor
Vendor Severity: Moderate
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS スコアのソース: CVE-2014-8124
CVSS v3
リスクファクター: High
基本値: 7.5
現状値: 6.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:openstack-dashboard-theme, p-cpe:/a:redhat:enterprise_linux:python-django-horizon-doc, p-cpe:/a:redhat:enterprise_linux:python-django-openstack-auth, p-cpe:/a:redhat:enterprise_linux:openstack-dashboard, p-cpe:/a:redhat:enterprise_linux:python-django-horizon
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/4/16
脆弱性公開日: 2014/11/19
参照情報
CVE: CVE-2014-8124