Scientific Linux セキュリティ更新:SL6.x i386/x86_64 の resource-agents
medium Nessus プラグイン ID 61196
Language:
概要
リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。説明
resource-agents パッケージには、Pacemaker および rgmanager サービスマネージャーの両方に対して High Availability 環境で運用するための複数のサービスとインターフェイスするための一連のスクリプトが含まれています。特定のリソースエージェントスクリトが、LD_LIBRARY_PATH 環境変数を空のパス要素を含む安全でない値に設定することが判明しました。ローカルユーザーが、これらのスクリプトを実行しているユーザーを騙して、攻撃者による書き込みが可能なディレクトリから作業している最中にこれらを実行できた場合、この欠陥を利用して、特別に細工された動的ライブラリにより権限を昇格する可能性があります。(CVE-2010-3389)
この更新は以下のバグも修正します:
- cluster.conf ファイルで Sybase データベースおよび ASEHAagent リソースを使用している場合、1 つの Sybase のインストールにつき複数の ASEHAagent を実行できませんでした。
結果として、第 2 の ASEHA(高可用性オプション装備の Sybase Adaptive Server Enterprise(ASE))エージェントは実行できませんでした。このバグは修正されており、現在は同じ Sybase インストールを使用する 2 つの ASEHA エージェントを使用することが可能になっています。
- rgmanager パッケージの内部機能を実装している s/lang スクリプトが、central_processing オプションの使用中に、間違ったパッケージに含まれました。別々に使用された時の問題を防止するために、現在は rgmanager および resource-agents パッケージが、インストール時に互いを必要とします。
- 以前、oracledb.sh スクリプトは、データベースの初回のシャットダウン試行時に、「shutdown abort」コマンドを使用していました。この更新により、oracledb.sh は「shutdown immediate」コマンドで、最初に緩やかなシャットダウンを試みてから、シャットダウンを強制するようになります。
- 以前は、共有 IP リソースと Apache リソースがあるクラスターでサービスをセットアップする場合、生成された httpd.conf ファイルの共有 IP アドレスを記述する行(「Listen」行)にバグがありました。
現在は、Apache リソースエージェントが正しく「Listen」行を生成するようになっています。
- 高可用性(HA)クラスターサービスを Apache リソースで定義し、2 つの単語(「kickstart httpd」など)で名前を付けた場合、そのサービスは決して起動しませんでした。これは、その名前の中の空白文字がエスケープされたディレクトリを見つけることができなかったためです。現在は、上記のように名前にスペースが含まれる場合でも、Apache リソースは正常に動作します。
- cluster.conf ファイルで継承を使用した場合、/usr/share/cluster/nfsclient.sh ファイル内のバグによって、NFS のエクスポートが適切に監視されませんでした。
結果として、NFS エクスポートによる NFS クライアントの監視は無限ループに陥ります。このバグは修正され、現在は監視は期待通りに機能します。
- 以前、postgres-8 リソースエージェントは、PostgreSQL サーバーが起動に失敗したことを検出しませんでした。このバグは修正されており、現在は postgres-8 は前述のシナリオで期待通りに動作します。
- Pacemaker リソースマネージャーを使用している場合、fs.sh リソースエージェントは、「monitor」パラメーターで呼び出され、参照されたデバイスが存在しない場合、エラー状態を報告しました。結果として、エラー状態により、リソースの起動が妨げられます。現在は、前述のシナリオで fs.sh が適切な応答コードを戻すため、このバグは修正されています。
- 以前は、Pacemaker リソースマネージャーと連動している場合、多数の RGManager リソースエージェントが間違った応答コードを返しました。現在は、エージェントが更新されており、Pacemaker と適切に動作します。
この更新により、次の拡張機能も追加されます:
- この更新により、netfs.sh リソースエージェントを使用するノードからネットワークを削除した場合、以前よりも高速に回復するようになりました。
* 同様に、この更新によって resource-agents パッケージが Upstream バージョン 3.9.2 にアップグレードされています。これにより、以前のバージョンに対する多数のバグ修正と拡張機能が提供されます。
resource-agents の全ユーザーは、この更新済みパッケージにアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。
ソリューション
影響を受ける resource-agents および/または resource-agents-debuginfo パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 61196
ファイル名: sl_20111206_resource_agents_on_SL6_x.nasl
バージョン: 1.7
タイプ: local
エージェント: unix
公開日: 2012/8/1
更新日: 2021/1/14
サポートされているセンサー: Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: Medium
基本値: 6.9
ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C
脆弱性情報
CPE: x-cpe:/o:fermilab:scientific_linux
必要な KB アイテム: Host/local_checks_enabled, Host/cpu, Host/RedHat/release, Host/RedHat/rpm-list
パッチ公開日: 2011/12/6
脆弱性公開日: 2010/10/20
参照情報
CVE: CVE-2010-3389