検出

RHEL 5:MRG(RHSA-2014:0441)

medium Nessus プラグイン ID 76676

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティ問題といくつかのバグを修正し、さまざまな拡張機能を追加する更新済みの Messaging コンポーネントパッケージが、Red Hat Enterprise Linux 5 用の Red Hat Enterprise MRG 2.5 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Red Hat Enterprise MRG(メッセージング、リアルタイム、グリッド)はエンタープライズコンピューティング用の次世代の IT インフラストラクチャです。MRG では、増大したパフォーマンス、信頼性、相互運用性、そしてより高速なコンピューティングを企業顧客に提供しています。

MRG Messaging は、AMQP(Advanced Message Queuing Protocol)に基づいた Linux 用の高速かつ信頼できるメッセージングディストリビューションです。このプロトコルは、標準デバイスとして利用できるミッションクリティカルなメッセージングを幅広く行えるようにし、プラットフォーム、プログラミング言語、ベンダーにおいて相互運用可能なエンタープライズメッセージングを実現するためのオープンプロトコル規格です。MRG Messaging には、AMQP 0-10 メッセージングブローカー、C++ 用 AMQP 0-10 クライアントライブラリ、 Java JMS、Python、ならびに永続化ライブラリおよび管理ツールが含まれています。

MRG 管理コンソール(cumin)が crypt(3) DES ベースのハッシュ関数を使用してパスワードのハッシュを行っていたことが判明しました。DES ベースのハッシュは弱いことが知られており、攻撃者がブルートフォース推測を介して、ハッシュから平文パスワードをより簡単に回復する可能性があります。cumin ユーザーデータベースをセキュリティ上で危険にさらすことができる攻撃者が、この欠陥を利用して、そのデータベースに保存されているパスワードハッシュから、平文のパスワードを入手する可能性があります。(CVE-2013-6445)

注:ユーザーのアカウント情報が、cumin によって管理されているデータベースに保存される展開では、ユーザーはこの更新後が適用された後、パスワードを変更することが推奨されています。

この問題は、Red Hat MRG 品質工学チームの Tomáš Nováčik 氏により発見されました。

また、この更新では、いくつかのバグを修正し、拡張機能を追加しています。
これらの変更に関するドキュメントは、「参照」セクションでリンクされているテクニカルノートドキュメントから、間もなく入手できるようになります。

Red Hat Enterprise MRG の Messaging 機能の全ユーザーは、これらの更新済みパッケージにアップグレードして、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。更新済みのパッケージをインストールした後、すべてのノード上で「service qpidd stop」を実行するか、クラスターノードの 1 つで「qpid-cluster --all-stop」を実行してクラスターを停止させます。更新を有効にするには、停止後に、すべてのノード上で「service qpidd start」を実行してクラスターを再起動させます。

ソリューション

影響を受ける cumin および/または mrg-release パッケージを更新してください。

参考資料

http://www.nessus.org/u?687515f3

https://access.redhat.com/errata/RHSA-2014:0441

https://access.redhat.com/security/cve/cve-2013-6445

プラグインの詳細

深刻度: Medium

ID: 76676

ファイル名: redhat-RHSA-2014-0441.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

公開日: 2014/7/22

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.2

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:cumin, p-cpe:/a:redhat:enterprise_linux:mrg-release, cpe:/o:redhat:enterprise_linux:5

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/4/28

参照情報

CVE: CVE-2013-6445

BID: 67733

RHSA: 2014:0441