RHEL 6 : pacemaker(RHSA-2013:1635)
medium Nessus プラグイン ID 71012
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
1 つのセキュリティ問題と複数のバグを修正し、さまざまな強化を追加する、更新済み pacemaker パッケージが、 Red Hat Enterprise Linux 6 で使用できるようになりました。Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
Pacemaker は、強力なポリシーエンジンが搭載された、高可用性クラスターリソースマネージャーです。
Pacemaker が特定の状況でリモート接続の認証および処理を行う方法で、サービス拒否欠陥が、見つかりました。Pacemaker が、リモートのクラスター情報ベース(CIB)の構成またはリソース管理が可能なように構成されているとき、リモートの攻撃者が、この欠陥を利用して、Pacemaker が無期限にブロックする(他のリクエストに対応不能にする)可能性があります。(CVE-2013-0281)
注:Red Hat Enterprise Linux 6 のデフォルトの Pacemaker 構成では、リモート CIB 管理機能性が無効になっています。
pacemaker パッケージは、Upstream バージョン 1.1.10 にアップグレードされています。これにより、以前のバージョンにわたって、多くのバグ修正と強化が提供されます。
* Pacemaker は不明な cman を前提としなくなり、ノードは安全に停止されます。
* コアダンプファイルにより、すべての終了コードが正の「errno」値に変換されるようになりました。
* Pacemaker により、フェンシング失敗が多すぎた後、安定状態に必ず戻り、フェンシングを要求するノードがまだアクティブな場合は、シャットダウンが開始されます。
* crm_error ツールにより、エラーシンボルをリストおよび印刷する能力が、追加されます。
* crm_resource コマンドにより、個々のリソースを再検出でき、リソースをノードから外すための「--ban」オプションが実装されます。「--clear」オプションが、「--unmove」オプションの代わりに置き換わっています。また、「--force」オプションを使用するときにcrm_resource が、 OCF トレースをサポートするようになりました。
* IPC メカニズムにより、haclient グループのメンバーがクラスターに接続する能力が、復元されます。
* Policy Engine デーモンにより、現在のメンバーシップのアクティブノードを、定足数なしでフェンシングできます。
* Policy Engine により、匿名のクローンステータスを表示するときに、意味のない ID が抑制されるようになり、単一ノードのメンテナンスモードがサポートされ、回復されたリソースが操作される前に、それらが正しく処理されるようになりました。
* XML テキストをレポートするとき、XML 構成ファイルが非印刷文字に関してチェックされ、XML テキストをエクスポートするときに、それらの 8 進法等価表示で置き換えられるようになりました。
また、ロックアップを防止するために、信頼性の高いバッファ割り当て戦略が実装されています。
(BZ#987355)
追加のバグ修正:
* 「crm_resource --move」コマンドは、アトミックリソース用に設計されており、複数のノードに存在するクローン、マスター、またはスレーブ上のリソースを処理できませんでした。その結果、crm_resource はリソースを移動するための十分な情報を取得できず、アクションを実行しませんでした。「--ban」および「--clear」オプションが追加されており、管理者はクラスターに、曖昧さを残さず指示できます。クローン、マスター、スレーブリソースが、期待どおりにクラスター内でナビゲーションできるようになりました。(BZ#902407)
* hacluster ユーザーアカウントでは、ユーザー ID (UID)番号またはグループ ID (GID)番号が、システムで予約されていませんでした。このため、UID および GID の値は、インストールプロセスでランダムに選択されました。
UID および GID 番号 189 が hacluster 用に予約されていましたが、すべてのインストールで一貫して使用されるようになりました。(BZ#908450)
* 特定のクラスターで、「uname -n」コマンドの出力と一致しないノードホスト名が、使用されました。このため、crm_standby および crm_failcount コマンドにより使用されるデフォルトのノード名が不適切で、管理者による更新がクラスターで無視されました。ヘルパースクリプトの uname ユーティリティの代わりに、 crm_node コマンドが使用されるようになりました。その結果、クラスターが期待どおりに動作します。(BZ#913093)
* 不適切なリターンコード処理のために、更新済み構成の適用に失敗したときに crm_mon ユーティリティの内部回復ロジックが実行されず、アサーション失敗が発生しました。リターンコードが適切にチェックされるようになり、期待されるエラー状態の回復が、ユーザーが気付くことなく処理されるようになりました。(BZ#951371)
* cman の自動フェンシング解除機能は、Pacemaker と併用される場合に失敗していました。Pacemaker での自動フェンシング解除のサポートが追加され、好ましくない動作が発生しなくなりました。(BZ#996850)
pacemaker の全ユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正し、拡張機能を追加することが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 71012
ファイル名: redhat-RHSA-2013-1635.nasl
バージョン: 1.15
タイプ: local
エージェント: unix
公開日: 2013/11/21
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.4
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:pacemaker, p-cpe:/a:redhat:enterprise_linux:pacemaker-cli, p-cpe:/a:redhat:enterprise_linux:pacemaker-cluster-libs, p-cpe:/a:redhat:enterprise_linux:pacemaker-cts, p-cpe:/a:redhat:enterprise_linux:pacemaker-debuginfo, p-cpe:/a:redhat:enterprise_linux:pacemaker-doc, p-cpe:/a:redhat:enterprise_linux:pacemaker-libs, p-cpe:/a:redhat:enterprise_linux:pacemaker-libs-devel, p-cpe:/a:redhat:enterprise_linux:pacemaker-remote, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/11/21
脆弱性公開日: 2013/11/23
参照情報
CVE: CVE-2013-0281
BID: 57965
RHSA: 2013:1635