検出

RHEL 6:RDMA スタック(RHSA-2013:1661)

medium Nessus プラグイン ID 71015

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

2 つのセキュリティ問題および複数のバグを修正し、多様な強化を追加する、更新済みの rdma、libibverbs、libmlx4、librdmacm、qperf、perftest、openmpi、 compat-openmpi、infinipath-psm、mpitests、rds-tools パッケージが、 Red Hat Enterprise Linux 6 で使用できるようになりました。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Red Hat Enterprise Linux には、Remote Direct Memory Access(RDMA)技術を使用するアプリケーションを書き込むための、Infiniband および iWARP のユーティリティ、ライブラリ、開発パッケージのコレクションが含まれています。

ibutils が一時ファイルを処理する方法で、欠陥が見つかりました。ローカルの攻撃者が、この欠陥を利用して、シンボリックリンク攻撃を介して、 root ユーザーとして任意のファイルを上書きする可能性があります。
(CVE-2013-2561)

librdmacm によって静的ポートが使用されて、ib_acm サービスに接続されることが判明しました。特別に細工された ib_acm サービスをそのポートで実行できるローカルの攻撃者が、この欠陥を利用して、不適切なアドレス解決情報を librmdacm アプリケーションに与える可能性があります。
(CVE-2012-4516)

CVE-2012-4516 は、Red Hat 製品セキュリティチームの Florian Weimer により発見されました。

このアドバイザリでは、以下のパッケージが最新の Upstream リリースに更新され、以前のバージョンに対する多数のバグ修正および強化が提供されます:

* libibverbs-1.1.7 * libmlx4-1.0.5 * librdmacm-1.0.17 * mstflint-3.0 * perftest-2.0 * qperf-0.4.9 * rdma-3.10

openmpi、mpitests、ibutils、infinipath-psm のパッケージで、いくつかのバグが修正されました。

RDMA スタックからのこれらの更新済みパッケージの最も注目に値する変更は、以下のとおりです。

* メッセージパッシングインターフェイス(MPI)テストパッケージの複数のバグが解決され、一層多くの mpitest アプリケーションが、基本 MPI 実装で実行できます。

* libmlx4 パッケージに、dracut モジュールファイルが含まれるようになり、 mlx4 ポートタイプの必要なカスタム構成が、必ず initramfs dracut ビルドに含まれるようになりました。

* perftest および qperf パッケージの複数のテストプログラムが、 RoCE インターフェイスで、または rdmacm キューペアの使用が指定されたときに、適切に機能するようになりました。

* mstflint パッケージが最新の Upstream バージョンに更新され、新しくリリースされた Mellanox Connect-IB ハードウェアのファームウェアを、焼き付けることができるようになりました。

* これらのパッケージの新しいビルドにより、openmpi と infinipath-psm パッケージの間の互換性問題が、解決されています。

RDMA のすべてのユーザーには、これらの更新済みパッケージにアップグレードすることを、推奨します。これには、これらの問題を修正し、これらの強化を追加する、バックポートされたパッチが、含まれています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?f11850db

https://access.redhat.com/errata/RHSA-2013:1661

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=865483

https://bugzilla.redhat.com/show_bug.cgi?id=927430

プラグインの詳細

深刻度: Medium

ID: 71015

ファイル名: redhat-RHSA-2013-1661.nasl

バージョン: 1.19

タイプ: local

エージェント: unix

公開日: 2013/11/21

更新日: 2025/4/15

サポートされているセンサー: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.4

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: Medium

基本値: 6.3

現状値: 4.9

ベクトル: CVSS2#AV:L/AC:M/Au:N/C:N/I:C/A:C

CVSS スコアのソース: CVE-2013-2561

CVSS v3

リスクファクター: Medium

基本値: 5.5

現状値: 5

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C

CVSS スコアのソース: CVE-2012-4516

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:mpitests, p-cpe:/a:redhat:enterprise_linux:libmlx4-static, p-cpe:/a:redhat:enterprise_linux:openmpi, p-cpe:/a:redhat:enterprise_linux:infinipath-psm-devel, p-cpe:/a:redhat:enterprise_linux:libibverbs-utils, p-cpe:/a:redhat:enterprise_linux:qperf, p-cpe:/a:redhat:enterprise_linux:rdma, p-cpe:/a:redhat:enterprise_linux:librdmacm-static, p-cpe:/a:redhat:enterprise_linux:perftest, p-cpe:/a:redhat:enterprise_linux:ibutils, p-cpe:/a:redhat:enterprise_linux:librdmacm, p-cpe:/a:redhat:enterprise_linux:ibutils-devel, p-cpe:/a:redhat:enterprise_linux:mpitests-mvapich, p-cpe:/a:redhat:enterprise_linux:openmpi-devel, p-cpe:/a:redhat:enterprise_linux:mpitests-mvapich2-psm, p-cpe:/a:redhat:enterprise_linux:mpitests-openmpi, p-cpe:/a:redhat:enterprise_linux:libmlx4, p-cpe:/a:redhat:enterprise_linux:librdmacm-devel, p-cpe:/a:redhat:enterprise_linux:infinipath-psm, p-cpe:/a:redhat:enterprise_linux:mstflint, p-cpe:/a:redhat:enterprise_linux:libibverbs, p-cpe:/a:redhat:enterprise_linux:mpitests-mvapich-psm, p-cpe:/a:redhat:enterprise_linux:ibutils-libs, p-cpe:/a:redhat:enterprise_linux:librdmacm-utils, p-cpe:/a:redhat:enterprise_linux:libibverbs-devel-static, p-cpe:/a:redhat:enterprise_linux:libibverbs-devel, p-cpe:/a:redhat:enterprise_linux:mpitests-mvapich2, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2013/11/21

脆弱性公開日: 2012/10/22

参照情報

CVE: CVE-2012-4516, CVE-2013-2561

BID: 55896, 58335

RHSA: 2013:1661