検出

RHEL 6:MRG(RHSA-2014:0440)

medium Nessus プラグイン ID 76675

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

2 つのセキュリティ問題や複数のバグを修正し、いくつもの拡張機能を提供する、更新済みの Grid コンポーネントパッケージが、Red Hat Enterprise Linux 6 用の Red Hat Enterprise MRG 2.5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Red Hat Enterprise MRG(メッセージング、リアルタイム、グリッド)はエンタープライズコンピューティング用の次世代の IT インフラストラクチャです。MRG では、増大したパフォーマンス、信頼性、相互運用性、そしてより高速なコンピューティングを企業顧客に提供しています。

MRG Grid は高スロープットなコンピューティングを提供しています。また、企業が、既存のテクノロジーを利用して、より高度なピークコンピューティング力や改善されたインフラストラクチャの利用を実現し、高パフォーマンスグリッドを構築できるようにしています。MRG Grid は、ジョブの待ち行列メカニズム、スケジューリングポリシー、優先度スキーム、リソースの監視、およびリソース管理を提供しています。ユーザーは、MRG Grid にジョブを送信します。すると、ジョブはキューに配置されます。そして、MRG Grid はポリシーに基づいて時と場所を選択し、慎重に進度を監視し、最後には完了時にユーザーに通知を行います。

MongoDB が BSON データを処理する方法で、バッファオーバーリードの欠陥が見つかりました。データベースユーザーに BSON データを MongoDB サーバーに挿入できる許可がある場合、この欠陥を利用して、サーバーメモリを読み取り、機密データを漏洩させる可能性があります。(CVE-2012-6619)

注:この更新は、/etc/mongodb.conf ファイルの中の「--objcheck」オプションを有効にすることで、CVE-2012-6619 に対処します。このファイルを編集している場合は、更新バージョンは、/etc/mongodb.conf.rpmnew として保存され、変更を /etc/mongodb.conf に手動でマージする必要があります。

MRG 管理コンソール(cumin)が crypt(3) DES ベースのハッシュ関数を使用してパスワードのハッシュを行っていたことが判明しました。DES ベースのハッシュは弱いことが知られており、攻撃者がハッシュから平文パスワードを回復する可能性があります。cumin ユーザーデータベースをセキュリティ上で危険にさらすことができる攻撃者が、この欠陥を利用して、そのデータベースに保存されているパスワードハッシュから、平文のパスワードを入手する可能性があります。(CVE-2013-6445)

注:ユーザーのアカウント情報が、cumin によって管理されているデータベースに保存される展開では、ユーザーはこの更新後が適用された後、パスワードを変更することが推奨されています。

CVE-2013-6445 の問題は、Red Hat MRG 品質工学チームの Tomáš Nováčik 氏により発見されました。

Red Hat Enterprise Linux 6 用のこれらの更新済みパッケージでは、Red Hat Enterprise MRG の Grid コンポーネントに対する多くのバグ修正や拡張機能も提供しています。スペースの関係で、変更すべてを文書化しこのアドバイザリに反映されているわけではありません。これらの変更の情報については、参照セクションのリンクから間もなくアクセスできるようになる、Red Hat Enterprise MRG 2 テクニカルノートドキュメントを参照してください。

Red Hat Enterprise MRG の Grid 機能の全ユーザーは、これらの問題を修正し、これらの機能強化を追加する、これらの更新されたパッケージにアップグレードすることが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?687515f3

https://access.redhat.com/errata/RHSA-2014:0440

https://access.redhat.com/security/cve/cve-2012-6619

https://access.redhat.com/security/cve/cve-2013-6445

プラグインの詳細

深刻度: Medium

ID: 76675

ファイル名: redhat-RHSA-2014-0440.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

公開日: 2014/7/22

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

基本値: 6.4

現状値: 4.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:condor, p-cpe:/a:redhat:enterprise_linux:condor-aviary, p-cpe:/a:redhat:enterprise_linux:condor-classads, p-cpe:/a:redhat:enterprise_linux:condor-cluster-resource-agent, p-cpe:/a:redhat:enterprise_linux:condor-debuginfo, p-cpe:/a:redhat:enterprise_linux:condor-deltacloud-gahp, p-cpe:/a:redhat:enterprise_linux:condor-kbdd, p-cpe:/a:redhat:enterprise_linux:condor-plumage, p-cpe:/a:redhat:enterprise_linux:condor-qmf, p-cpe:/a:redhat:enterprise_linux:condor-vm-gahp, p-cpe:/a:redhat:enterprise_linux:cumin, p-cpe:/a:redhat:enterprise_linux:mongodb, p-cpe:/a:redhat:enterprise_linux:mongodb-debuginfo, p-cpe:/a:redhat:enterprise_linux:mongodb-server, p-cpe:/a:redhat:enterprise_linux:mrg-release, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/4/28

脆弱性公開日: 2014/3/6

参照情報

CVE: CVE-2012-6619, CVE-2013-6445

BID: 67733

RHSA: 2014:0440