検出

RHEL 5:autofs(RHSA-2013:0132)

medium Nessus プラグイン ID 63413

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題といくつかのバグを修正し、 1 つの拡張機能を追加する更新済みの autofs パッケージが、 Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

autofs ユーティリティは、automount デーモンの操作をコントロールします。automount デーモンは、ファイルシステムを自動的にマウント/アンマウントします。

RHBA-2012:0264 に含まれているバグ修正が、 autofs にサービス拒否の欠陥を導入していました。autofs を LDAP で使用する場合に、ローカルのユーザーが、この欠陥を利用して、autofs をクラッシュさせる可能性があります。これにより、autofs サービスが再起動されるまで、追加のマウントリクエストが処理されないようになります。注:この欠陥は、既存のマウントには影響しません(マウントの有効期限切れの防止は除く)。
(CVE-2012-2697)

Red Hat は、この問題を報告してくれた Ray Rocker 氏に感謝の意を表します。

この更新は以下のバグも修正します:

* autofs init スクリプトは、automount デーモンの終了待ちでタイムアウトすることがあり、デーモンが所定の時間内で終了しないとシャットダウンのエラーを返します。この問題を解決するために、サーバーの応答が遅い場合や、アクティブなマウントが多い場合に、 init スクリプトがデーモンを待つ時間を長くします。
(BZ#585058)

* 変更をバックポートする場合に除外があるため、 autofs は起動時に LDAP マップ全体をダウンロードしようとします。現在、この間違いは、修正されています。(BZ#767428)

* マウント場所の有効性をチェックする関数は、マップ場所のエラーの小さなサブセットだけを調べるはずでした。エラーレポートの最近の変更により、この認証関数の論理テストが大幅に見直されました。この結果、テストの範囲が広がり、それにより automount デーモンが偽の失敗を報告するようになりました。
この更新により、不完全な論理テストが修正され、偽の失敗が発生しなくなりました。(BZ#798448)

* 無効なキーまたは存在しないキーへアクセスする試行が多すぎる場合、automount デーモンが CPU リソースを過剰に消費していました。結果として、システムが応答しなくなることがありました。automount がプロセスのより早い段階で無効なキーをチェックするように、コードが改良されています。これにより、処理のオーバーヘッドが大幅に削減されました。(BZ#847101)

* auto.master(5) man ページの FORMAT オプションのセクションに「-t, --timeout」オプションが記載されていませんでした。この更新により、この情報が man ページに追加されました。(BZ#859890)

この更新により、次の拡張機能も追加されます:

* 以前は、 autofs マスターマップの個別のダイレクトマップエントリーに対するタイムアウト値を別々に構成することはできませんでした。この更新により、この機能が追加されました。(BZ#690404)

autofs の全ユーザーは、バックポートされたパッチが含まれるこの更新済みパッケージへアップグレードし、これらの問題を修正し、この拡張機能を追加することが推奨されます。

ソリューション

影響を受ける autofs および/または autofs-debuginfo のパッケージを更新してください。

参考資料

https://rhn.redhat.com/errata/RHBA-2012-0264.html

https://access.redhat.com/errata/RHSA-2013:0132

https://access.redhat.com/security/cve/cve-2012-2697

プラグインの詳細

深刻度: Medium

ID: 63413

ファイル名: redhat-RHSA-2013-0132.nasl

バージョン: 1.18

タイプ: local

エージェント: unix

公開日: 2013/1/8

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 4.9

現状値: 3.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:N/I:N/A:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:autofs, p-cpe:/a:redhat:enterprise_linux:autofs-debuginfo, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/1/8

参照情報

CVE: CVE-2012-2697

RHSA: 2013:0132