RHEL 5:conga(RHSA-2013:0128)
critical Nessus プラグイン ID 64074
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
1 つのセキュリティ問題と複数のバグを修正し、2 つの拡張機能を追加する更新済みの conga パッケージが、Red Hat Enterprise Linux 5 で現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Conga プロジェクトは、リモートワークステーション用の管理システムです。これはセキュアな Web ベースのフォントエンドの luci および、下層の管理モジュールに対するメッセージを送信するセキュアなデーモンの riccci から成ります。
luci がユーザー名およびパスワードをセッションクッキーで保存していたことが判明しました。この問題により、セッションの非アクティブタイムアウト機能が適切に動作せず、攻撃者はセッションクッキーへのアクセスを取得でき、被害者の認証情報を取得できました。
(CVE-2012-3359)
Red Had は、この問題を報告してくれたCybercom Sweden East AB の George Hedfors 氏に感謝の意を表します。
この更新は以下のバグも修正します:
* この更新以前は、luci は、fence_apc_snmp エージェントの構成を許可していませんでした。その結果、ユーザーは fence_apc_snmp の構成を行うことや、既存の構成を表示することはできませんでした。この更新では、fence_apc_snmp の構成を可能にする新しい画面が追加されています。(BZ#832181)
* この更新以前では、luci は fence_ilo フェンスエージェントの SSL 操作の有効化または無効化を許可していませんでした。その結果、ユーザーは、fence_iloに対する「ssl」属性の構成を行うことや、既存の構成を表示するこはできませんでした。この更新では、SSL 操作が有効化されているかを示すチェックボックスが追加され、ユーザーによる属性の編集が許可されています。(BZ#832183)
* この更新以前では、luci は、fence_ilo_mp フェンスエージェントの「identity_file」属性の表示または編集を許可していませんでした。その結果、ユーザーは、fence_ilo_mp フェンスエージェントの「identity_file」属性の構成を行うことや、既存の構成を表示することはできませんでした。この更新では、fence_ilo_mp の「identity_file」属性の現在の状態を表示するテキスト入力ボックスが追加され、ユーザーによる属性の編集が許可されています。(BZ#832185)
* この更新以前では、luci パッケージがアンインストールされた際、重複したファイルおよびディレクトリが、/var/lib/luci/var/pts および /usr/lib{,64}/luci/zope/var/pts のシステムファイルに留まっていました。
この更新では、luci パッケージがアンインストールされた際に、これらのファイルやディレクトリが削除されます。(BZ#835649)
* この更新以前では、ユーザーがフェイルオーバードメインに対してリカバリポリシーを構成する際に選択できたリカバリポリシーリストに、「restart-disable」リカバリポリシーが表示されていませんでした。結果として「restart-disable」リカバリポリシーは luci GUI で設定できませんでした。この更新では、「restart-disable」リカバリオプションがリカバリポリシープルダウンリストに追加されています。(BZ#839732)
* この更新以前では、「yum list」出力には予想されていない改行により、クラスターを作成する際や既存のクラスターにノードを追加する際に、パッケージのアップグレードやインストールが失敗する可能性があります。結果としてクラスターの作成や既存クラスターへのノードの追加が失敗することがありました。この更新では、「yum list」出力において改行を適切に処理できるように ricci デーモンを変更しています。(BZ#842865)
また、この更新は以下の拡張機能も追加します:
* この更新では、luci パッケージに対する Intel iPDU フェンスエージェントの構成サポートが追加されています。(BZ#741986)
* この更新では、FS およびクラスター FS リソースエージェント構成画面に対する、新しい「nfsrestart」属性の状態の表示や変更サポートが追加されています。(BZ#822633)
conga の全ユーザーはこれらの更新済みパッケージへアップグレードし、これらの問題を解決し、これらの拡張機能を追加する必要があります。この更新をインストールすると、luci および ricci サービスは自動的に再起動されます。
ソリューション
影響を受けた conga-debuginfo、luci および/または ricci パッケージを更新してください。参考資料
http://www.nessus.org/u?0bf4cf68
https://access.redhat.com/errata/RHSA-2013:0128
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=607179
https://bugzilla.redhat.com/show_bug.cgi?id=832181
https://bugzilla.redhat.com/show_bug.cgi?id=832183
https://bugzilla.redhat.com/show_bug.cgi?id=832185
プラグインの詳細
深刻度: Critical
ID: 64074
ファイル名: redhat-RHSA-2013-0128.nasl
バージョン: 1.17
タイプ: local
エージェント: unix
公開日: 2013/1/24
更新日: 2024/4/27
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: Low
基本値: 3.7
現状値: 2.7
ベクトル: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P
CVSS スコアのソース: CVE-2012-3359
CVSS v3
リスクファクター: Critical
基本値: 9.8
現状値: 8.5
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:luci, p-cpe:/a:redhat:enterprise_linux:ricci, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:conga
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/1/8
参照情報
CVE: CVE-2012-3359
RHSA: 2013:0128