CentOS 5：cman（CESA-2009:1341）

medium Nessus プラグイン ID 43788

Language:

概要

リモート CentOS ホストに１つ以上のセキュリティ更新がありません。

説明

複数のセキュリティ問題と様々なバグを修正し、強化点を追加する更新済みの cman パッケージが Red Hat Enterprise Linux 5 で現在利用可能です。

この更新は、Red Hat セキュリティレスポンスチームによりセキュリティインパクトが小さいと評価されています。

Cluster Manager（cman）ユーティリティは、Linux クラスターを管理するためのサービスを提供します。

fence_apc_snmp および ccs_tool で、セキュアでないテンポラリファイルの使用の欠陥が複数見つかりました。ローカルの攻撃者は、これらの欠陥を利用して、シンボリックリンク攻撃を通じて、ユーティリティ（通常は root）の出力でそれらを実行している被害者によって、書き込み可能な任意のファイルを上書きする可能性があります。（CVE-2008-4579、CVE-2008-6552）

バグ修正：

* <cman> ブロック内の 1 ブロックにつき、52 を超えるエントリが cluster.conf に含まれていた場合、バッファがオーバーフローする可能性があります。上限が 1024 になりました。

* group_tool ダンプサブコマンドの出力が、NULL パディングされていました。

* device='' instead of label='' を使用しても、qdiskd が不適切に終了することがなくなりました。

* IPMI フェンシングエージェントが、10 秒後にタイムアウトするように変更されました。また、「-t」オプションで、異なるタイムアウト値を指定できるようになりました。

IPMI フェンシングエージェントで、パスワードに句読点が使用できるようになりました。

* cman サービスを即座に開始および停止しても、クラスターメンバーシップでクラスター全体の整合性が取れなくなることがなくなりました。

* ロック同期の問題によって、「receive_own from」エラーが「/var/log/messages」に記録されていました。

* 数百のファイルシステムをマウントするときに、gfs_controld でセグメンテーション違反が起こる問題が修正されました。

* LPAR が Open Firmware モードになったときに、 iLPAR フェンシングエージェントでステータスが適切に報告されるようになりました。

* LPAR フェンシングエージェントが、Integrated Virtualization Manager（IVM）を使用するシステムと適切に連動するようになりました。

* APC SNMP フェンシングエージェントで、SNMP エージェントからのリターンコード、outletStatusOn および outletStatusOff が適切に認識されるようになりました。

* WTI フェンシングエージェントが、パスワードなしでフェンシングデバイスに接続できるようになりました。

* rps-10 フェンシングエージェントをオプションなしで実行した場合、適切に再起動が行われるようになりました。

* 「-C」オプションを指定すると、IPMI フェンシングエージェントで、各種の暗号タイプがサポートされるようになりました。

* qdisk で、デバイスおよびパーティションが適切にスキャンされるようになりました。

* クラスターのセットアップ時に、新たなノードが、最初のノードをキリングしない状態になっているかどうかを cman で確認するようになりました。

* 「service qdiskd start」が適切に機能するようになりました。

* McData フェンスエージェントが、McData Sphereon 4500 Fabric Switch と適切に連動するようになりました。

* Egenera フェンスエージェントで、SSH ログイン名を指定できるようになりました。

* 3.5.x ファームウェアを使用する場合、APC フェンスエージェントが、非管理者のアカウントで機能するようになりました。

* fence_xvmd で 2 つのメソッドを試行して、仮想マシンを再起動するようになりました。

* 「ais」のユーザーおよびグループで、権限のない CPG クライアントから OpenAIS への接続が許可されるようになりました。

* groupd はデフォルトのフェンスドメインを「0」にすることを許可しなくなりました。これは以前 rgmanager がハングする原因となっていました。これにより、rgmanager はハングしなくなりました。

* RSA フェンスエージェントで、SSH が有効になった RSA II デバイスがサポートされるようになりました。

* DRAC フェンスエージェントが、Dell PowerEdge M600 ブレードサーバー上の Integrated Dell RemoteAccess Controller（iDRAC）と連動するようになりました。

* cman のメモリリークが修正されました。

* 同じ名称のラベルが複数見つかった場合、qdisk で警告が表示されるようになりました。

* DRAC5 フェンスエージェントで「-D」オプションの正しい使用方法が表示されるようになりました。

* getnameinfo() が失敗したときに、cman で誤ったノード名を使用することがなくなりました。

* sg_persist がインストールされていることを、SCSI フェンスエージェントで検証するようになりました。

* DRAC5 フェンシングエージェントで modulename が適切に処理されるようになりました。

* QDisk で、共有ストレージに対する I/O がハングしたと見られる場合、警告メッセージを記録するようになりました。

* fence_apc が pexpect 例外で失敗しなくなりました。

* 「cman_tool leave remove」を使用してクラスターからノードを削除すると、expected_votes および quorum が正しく減少されるようになりました。

* cman のセマフォ漏洩が修正されました。

* ノードがメンバーシップから外れた場合、「cman_tool nodes -F name」がセグメンテーション違反をすることがなくなりました。

強化点：

* ePowerSwitch 8+ および LPAR/HMC v3 デバイス、Cisco MDS 9124 および MDS 9134 SAN スイッチ、virsh フェンシングエージェント、 cman とのブロードキャスト通信がサポートされるようになりました。

* fence_scsi man ページに fence_scsi 制限が追加されました。

cman のユーザーはこれらの更新済みパッケージへアップグレードし、これらの問題を修正し、これらの強化点を追加することが推奨されます。