検出

CentOS 5:conga(CESA-2013:0128)

low Nessus プラグイン ID 63573

Language:

概要

リモート CentOS ホストに1つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティ問題と複数のバグを修正し、2 つの拡張機能を追加する更新済みの conga パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Conga プロジェクトは、リモートワークステーション用の管理システムです。これはセキュアな Web ベースのフォントエンドの luci および、下層の管理モジュールに対するメッセージを送信するセキュアなデーモンの riccci から成ります。

luci がユーザー名およびパスワードをセッションクッキーで保存していたことが判明しました。この問題により、セッションの非アクティブタイムアウト機能が適切に動作せず、攻撃者はセッションクッキーへのアクセスを取得でき、被害者の認証情報を取得できました。
(CVE-2012-3359)

Red Had は、この問題を報告してくれたCybercom Sweden East AB の George Hedfors 氏に感謝の意を表します。

この更新は以下のバグも修正します:

* この更新以前は、luci は、fence_apc_snmp エージェントの構成を許可していませんでした。その結果、ユーザーは fence_apc_snmp の構成を行うことや、既存の構成を表示することはできませんでした。この更新では、fence_apc_snmp の構成を可能にする新しい画面が追加されています。(BZ#832181)

* この更新以前では、luci は fence_ilo フェンスエージェントの SSL 操作の有効化または無効化を許可していませんでした。その結果、ユーザーは、fence_iloに対する「ssl」属性の構成を行うことや、既存の構成を表示するこはできませんでした。この更新では、SSL 操作が有効化されているかを示すチェックボックスが追加され、ユーザーによる属性の編集が許可されています。(BZ#832183)

* この更新以前では、luci は、fence_ilo_mp フェンスエージェントの「identity_file」属性の表示または編集を許可していませんでした。その結果、ユーザーは、fence_ilo_mp フェンスエージェントの「identity_file」属性の構成を行うことや、既存の構成を表示することはできませんでした。この更新では、fence_ilo_mp の「identity_file」属性の現在の状態を表示するテキスト入力ボックスが追加され、ユーザーによる属性の編集が許可されています。(BZ#832185)

* この更新以前では、luci パッケージがアンインストールされた際、重複したファイルおよびディレクトリが、/var/lib/luci/var/pts および /usr/lib{,64}/luci/zope/var/pts のシステムファイルに留まっていました。
この更新では、luci パッケージがアンインストールされた際に、これらのファイルやディレクトリが削除されます。(BZ#835649)

* この更新以前では、ユーザーがフェイルオーバードメインに対してリカバリポリシーを構成する際に選択できたリカバリポリシーリストに、「restart-disable」リカバリポリシーが表示されていませんでした。結果として「restart-disable」リカバリポリシーは luci GUI で設定できませんでした。この更新では、「restart-disable」リカバリオプションがリカバリポリシープルダウンリストに追加されています。(BZ#839732)

* この更新以前では、「yum list」出力には予想されていない改行により、クラスターを作成する際や既存のクラスターにノードを追加する際に、パッケージのアップグレードやインストールが失敗する可能性があります。結果としてクラスターの作成や既存クラスターへのノードの追加が失敗することがありました。この更新では、「yum list」出力において改行を適切に処理できるように ricci デーモンを変更しています。(BZ#842865)

また、この更新は以下の拡張機能も追加します:

* この更新では、luci パッケージに対する Intel iPDU フェンスエージェントの構成サポートが追加されています。(BZ#741986)

* この更新では、FS およびクラスター FS リソースエージェント構成画面に対する、新しい「nfsrestart」属性の状態の表示や変更サポートが追加されています。(BZ#822633)

conga の全ユーザーはこれらの更新済みパッケージへアップグレードし、これらの問題を解決し、これらの拡張機能を追加する必要があります。この更新をインストールすると、luci および ricci サービスは自動的に再起動されます。

ソリューション

影響を受ける conga パッケージを更新してください。

参考資料

http://www.nessus.org/u?3008fba3

http://www.nessus.org/u?85d458a2

プラグインの詳細

深刻度: Low

ID: 63573

ファイル名: centos_RHSA-2013-0128.nasl

バージョン: 1.15

タイプ: local

エージェント: unix

公開日: 2013/1/17

更新日: 2021/1/4

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Low

基本値: 3.7

現状値: 2.7

ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P

CVSS スコアのソース: CVE-2012-3359

脆弱性情報

CPE: p-cpe:/a:centos:centos:luci, p-cpe:/a:centos:centos:ricci, cpe:/o:centos:centos:5

必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/1/10

脆弱性公開日: 2014/3/31

参照情報

CVE: CVE-2012-3359, CVE-2013-7347

BID: 57322

RHSA: 2013:0128