検出

プラグイン

RHEL 7 : Red Hat OpenStack Platform director (RHSA-2017:1504)

critical Nessus プラグイン ID 234403

Language:

概要

リモートの Red Hat ホストに、Red Hat OpenStack Platform director のセキュリティ更新プログラムがありません。

説明

リモート Redhat Enterprise Linux 7 ホストに、RHSA-2017:1504 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

Red Hat OpenStack Platform director は、Red Hat OpenStack Platform に基づくプライベートまたはパブリックの Infrastructure-as-a-Service (IaaS) クラウドをデプロイおよび監視するための機能を提供します。

セキュリティ修正プログラム:

* libvirtd ベースのライブ移行を有効にするための Red Hat OpenStack Platform director の TripleO の使用において、設計の欠陥の問題が見つかりました。Libvirtd は、デフォルトで (ディレクトリ別に) 展開され、0.0.0.0 (すべてのインターフェース) で認証または暗号化なしにリッスンします。127.0.0.1 やその他のループバックインターフェースアドレス、場合によっては管理インターフェースの外で公開されているアドレスなど、任意の計算ホスト IP アドレスへの TCP 接続を確立できる人は、これを使用して libvirtd インスタンスへの virsh セッションを開き、仮想マシンインスタンスの制御を取得するか、ホストを乗っ取る可能性があります。
(CVE-2017-2637)

この欠陥に関する詳細は、次の KCS の記事で参照できます。
https://access.redhat.com/solutions/3022771

この問題は、David Gurtner 氏 (Red Hat) により発見されました。

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

RHEL Red Hat OpenStack Platform director パッケージを RHSA-2017:1504 のガイダンスに基づいて更新してください。

参考資料

https://access.redhat.com/security/updates/classification/#important

https://access.redhat.com/solutions/3022771

https://bugzilla.redhat.com/show_bug.cgi?id=1428240

https://bugzilla.redhat.com/show_bug.cgi?id=1431673

https://bugzilla.redhat.com/show_bug.cgi?id=1457132

https://bugzilla.redhat.com/show_bug.cgi?id=1457738

http://www.nessus.org/u?ad6c002a

https://access.redhat.com/errata/RHSA-2017:1504

プラグインの詳細

深刻度: Critical

ID: 234403

ファイル名: redhat-RHSA-2017-1504.nasl

バージョン: 1.1

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2025/4/15

更新日: 2025/4/15

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

Vendor

Vendor Severity: Important

CVSS v2

リスクファクター: Critical

基本値: 10

現状値: 7.4

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2017-2637

CVSS v3

リスクファクター: Critical

基本値: 10

現状値: 8.7

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:openstack-tripleo-heat-templates, p-cpe:/a:redhat:enterprise_linux:openstack-tripleo-heat-templates-liberty, p-cpe:/a:redhat:enterprise_linux:python-tripleoclient, p-cpe:/a:redhat:enterprise_linux:openstack-tripleo-puppet-elements

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/6/19

脆弱性公開日: 2017/5/17

参照情報

CVE: CVE-2017-2637

CWE: 306

RHSA: 2017:1504