検出

Scientific Linux セキュリティ更新:SL5.x i386/x86_64 の conga

low Nessus プラグイン ID 63592

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

luci がユーザー名およびパスワードをセッションクッキーで保存していたことが判明しました。この問題により、セッションの非アクティブタイムアウト機能が適切に動作せず、攻撃者はセッションクッキーへのアクセスを取得でき、被害者の認証情報を取得できました。
(CVE-2012-3359)

この更新は以下のバグも修正します:

- この更新が出る前は、luci は fence_apc_snmp エージェントの構成を許可していませんでした。その結果、ユーザーは fence_apc_snmp の構成を行うことや、既存の構成を表示することはできませんでした。この更新では、fence_apc_snmp の構成を可能にする新しい画面が追加されています。

- この更新が出る前は、luci は fence_ilo フェンスエージェントの SSL 操作の有効化または無効化を許可していませんでした。その結果、ユーザーは、fence_iloに対する「ssl」属性の構成を行うことや、既存の構成を表示するこはできませんでした。この更新では、SSL 操作が有効化されているかを示すチェックボックスが追加され、ユーザーによる属性の編集が許可されています。

- この更新が出る前は、luci は fence_ilo_mp フェンスエージェントの「identity_file」属性の表示または編集を許可していませんでした。その結果、ユーザーは、fence_ilo_mp フェンスエージェントの「identity_file」属性の構成を行うことや、既存の構成を表示することはできませんでした。この更新では、fence_ilo_mp の「identity_file」属性の現在の状態を表示するテキスト入力ボックスが追加され、ユーザーによる属性の編集が許可されています。

- この更新が出る前は、luci パッケージがアンインストールされた際、重複したファイルおよびディレクトリが、/var/lib/luci/var/pts および /usr/lib{,64}/luci/zope/var/pts のファイルシステムに留まっていました。この更新では、luci パッケージがアンインストールされた際に、これらのファイルやディレクトリが削除されます。

- この更新が出る前は、ユーザーがフェイルオーバードメインに対してリカバリポリシーを構成する際に選択できたリカバリポリシーリストに、「restart-disable」リカバリポリシーが表示されていませんでした。結果として「restart-disable」リカバリポリシーは luci GUI で設定できませんでした。この更新では、「restart-disable」リカバリオプションがリカバリポリシープルダウンリストに追加されています。

- この更新が出る前は、「yum list」出力には予想されていない改行により、クラスターを作成する際や既存のクラスターにノードを追加する際に、パッケージのアップグレードやインストールが失敗する可能性があります。結果としてクラスターの作成や既存クラスターへのノードの追加が失敗することがありました。この更新では、「yum list」出力において改行を適切に処理できるように ricci デーモンを変更しています。

また、この更新は以下の拡張機能も追加します:

- この更新では、luci パッケージに対する Intel iPDU フェンスエージェントの構成サポートが追加されています。

- この更新では、FS およびクラスター FS リソースエージェント構成画面に対する、新しい「nfsrestart」属性の状態の表示や変更サポートが追加されています。

この更新をインストールすると、luci および ricci サービスは自動的に再起動されます。

ソリューション

影響を受けた conga-debuginfo、luci および/または ricci パッケージを更新してください。

参考資料

http://www.nessus.org/u?51399252

プラグインの詳細

深刻度: Low

ID: 63592

ファイル名: sl_20130108_conga_on_SL5_x.nasl

バージョン: 1.8

タイプ: local

エージェント: unix

公開日: 2013/1/17

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: Low

基本値: 3.7

ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:conga-debuginfo, p-cpe:/a:fermilab:scientific_linux:luci, p-cpe:/a:fermilab:scientific_linux:ricci, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2013/1/8

脆弱性公開日: 2014/3/31

参照情報

CVE: CVE-2012-3359