RHEL 6:resource-agents(RHSA-2011:1580)

medium Nessus プラグイン ID 64007

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題といくつかのバグを修正し、複数の拡張機能を追加する更新済みの resource-agents パッケージが、Red Hat Enterprise Linux 6 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

resource-agents パッケージには、Pacemaker および rgmanager サービスマネージャーの両方に対して High Availability 環境で運用するための複数のサービスとインターフェイスするための一連のスクリプトが含まれています。

特定のリソースエージェントスクリトが、LD_LIBRARY_PATH 環境変数を空のパス要素を含む安全でない値に設定することが判明しました。ローカルユーザーが、これらのスクリプトを実行しているユーザーを騙して、攻撃者による書き込みが可能なディレクトリから作業している最中にこれらを実行できた場合、この欠陥を利用して、特別に細工された動的ライブラリにより権限を昇格する可能性があります。(CVE-2010-3389)

Red Hat は、この問題を報告してくれた Raphael Geissert 氏に感謝の意を表します。

この更新は以下のバグも修正します:

* cluster.conf ファイルで Sybase データベースおよび ASEHAagent リソースを使用している場合、Sybase のインストールあたり複数の ASEHAagent を実行することはできませんでした。結果として、第 2 の ASEHA(高可用性オプション装備の Sybase Adaptive Server Enterprise(ASE))エージェントは実行できませんでした。このバグは修正されており、現在は同じ Sybase インストールを使用する 2 つの ASEHA エージェントを使用することが可能になっています。(BZ#711852)

* rgmanager パッケージ用の内部機能を実装している s/lang スクリプトは、central_processing オプションが使用中であるにもかかわらず、間違ったパッケージに収納されていました。別々に使用された時の問題を防止するために、現在は rgmanager および resource-agents パッケージが、インストール時に互いを必要とします。(BZ#693518)

* 以前は、oracledb.sh スクリプトは、データベースを初めてシャットダウンしてみる場合に、「shutdown abort」コマンドを使用していました。この更新により、oracledb.sh は「shutdown immediate」コマンドで、最初に緩やかなシャットダウンを試みてから、シャットダウンを強制するようになります。(BZ#689801)

* 以前は、IP リソースと Apache リソースが共有されるクラスターで、サービスを設定する場合、生成された httpd.conf ファイルにおいて、共有される IP アドレスを記述する行(「Listen」行)にバグがありました。現在は、Apache リソースエージェントが正しく「Listen」行を生成するようになっています。(BZ#667217)

* 高可用性(HA)クラスターサービスが Apache リソースを用いて定義され、「kickstart httpd」のような 2 つの単語で名前が付けられる場合、そのサービスは一切起動しませんでした。その原因は、エスケープされたディレクトリの名前に、空白文字があるディレクトリを見つけることができなかったためです。現在は、上記のように名前にスペースが含まれる場合でも、Apache リソースは正常に動作します。
(BZ#667222)

* cluster.conf ファイルで継承が使用される場合、/usr/share/cluster/nfsclient.sh ファイルにバグがあるため、NFS のエクスポートを適切に監視できませんでした。結果として、NFS エクスポートによる NFS クライアントの監視は無限ループに陥ります。このバグは修正され、現在は監視は期待通りに機能します。(BZ#691814)

* 以前は、postgres-8 リソースエージェントは、PostgreSQL サーバーが起動に失敗しているのを検出しませんでした。このバグは修正されており、現在は postgres-8 は前述のシナリオで期待通りに動作します。
(BZ#694816)

* Pacemaker リソースマネージャーを使用している場合、fs.sh リソースエージェントは、「monitor」パラメーター付きで呼び出され、参照されるデバイスが存在しない場合、エラー状態を報告していました。結果として、エラー状態により、リソースの起動が妨げられます。現在は、前述のシナリオで fs.sh が適切な応答コードを戻すため、このバグは修正されています。(BZ#709400)

* 以前は、Pacemaker リソースマネージャーと連動している場合、多数の RGManager リソースエージェントは、間違った応答コードを返していました。現在は、エージェントが更新されており、Pacemaker と適切に動作します。
(BZ#727643)

この更新により、次の拡張機能も追加されます:

* この更新では、netfs.sh リソースエージェントを使用しているノードからネットワークが削除される場合、これまで以上の速さで回復するようになっています。
(BZ#678497)

* 同様に、この更新によって resource-agents パッケージが Upstream バージョン 3.9.2 にアップグレードされています。これにより、以前のバージョンに対する多数のバグ修正と拡張機能が提供されます。(BZ#707127)

resource-agents の全ユーザーは、この更新済みパッケージにアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。

ソリューション

影響を受ける resource-agents および/または resource-agents-debuginfo パッケージを更新してください。

参考資料

https://access.redhat.com/security/cve/cve-2010-3389

https://access.redhat.com/errata/RHSA-2011:1580

プラグインの詳細

深刻度: Medium

ID: 64007

ファイル名: redhat-RHSA-2011-1580.nasl

バージョン: 1.18

タイプ: local

エージェント: unix

公開日: 2013/1/24

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 6.7

CVSS v2

リスクファクター: Medium

基本値: 6.9

現状値: 5.1

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:C/I:C/A:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:resource-agents, p-cpe:/a:redhat:enterprise_linux:resource-agents-debuginfo, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2011/12/6

脆弱性公開日: 2010/10/20

参照情報

CVE: CVE-2010-3389

BID: 44359

RHSA: 2011:1580