RHEL 6:rhevm 3.1.2(RHSA-2013:0211)
medium Nessus プラグイン ID 78948
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
2 つのセキュリティの問題とさまざまなバグを修正する更新済みの rhevm パッケージが、現在利用可能です。Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Red Hat Enterprise Virtualization Manager は、システム管理者が仮想マシンの閲覧および管理を行うことができる集中管理プラットフォームです。Red Hat Enterprise Virtualization Manager は、検索機能、リソース管理、ライブ移行、仮想インフラストラクチャプロビジョニングを含む包括的な機能を提供します。このマネージャーは JBoss Application Server アプリケーションであり、管理ポータル、ユーザーポータル、および Representational State Transfer(REST)アプリケーションプログラミングインターフェイス(API)を含む、仮想環境へのアクセスおよび相互作用が可能な複数のインターフェイスを提供します。
検証アクション付きでドメイン管理ツールを実行すると(「rhevm-manage-domains -action=validate」)、管理者パスワードが誰でも読めるログファイルに記録されることが判明しました。ローカルの攻撃者がこの欠陥を利用して、Red Hat Enterprise Virtualization Manager により管理されているシステムの制御を得る可能性があります。(CVE-2012-6115)
MoveDisk コマンドが、ターゲットストレージドメイン上の権限をチェックする方法に欠陥が見つかりました。権限のあるユーザー(ストレージドメインのストレージ管理者)が、この欠陥を利用して、そうでなければアクセスできない、別のストレージドメインの中の使用可能なすべての空き領域を消耗させる可能性があります。(CVE-2013-0168)
CVE-2012-6115 の問題は、Red Hat の Andrew Cathrow 氏により発見されました。
CVE-2013-0168 の問題は、Red Hat の Ondrej Machacek 氏により発見しました。
以前には、Red Hat Enterprise Virtualization Manager 3.0 から 3.1 へのアップグレードは、公式には Red Hat からサポートされていませんでした。この更新により、アップグレードプロセスで、多数の既知の問題が修正されます。結果として、Red Hat Enterprise Virtualization Manager 3.0 から 3.1 へのアップグレードは今ではサポートされています。
Red Hat Enterprise Virtualization Manager 3.1 へのアップグレードに関する詳細情報については、「インストールガイド」を参照してください。
https://access.redhat.com/knowledge/docs/en-US/ Red_Hat_Enterprise_Virtualization/3.1/html/Installation_Guide/ chap-Upgrading_to_Red_Hat_Enterprise_Virtualization_3.1.html
考慮すべき追加のヒントおよび考慮事項も、Red Hat Knowledge Base に掲載されています:
https://access.redhat.com/knowledge/articles/269333
この更新で修正されたバグの情報は、「テクニカルノート」文書に記載されています:
https://access.redhat.com/knowledge/docs/en-US/ Red_Hat_Enterprise_Virtualization/3.1/html/Technical_Notes/ chap-RHSA-2013-0211.html
Red Hat Enterprise Virtualization Manager の全ユーザーは、これらの更新パッケージをインストールして、これらの問題を修正することが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
https://access.redhat.com/documentation/en-US/
https://access.redhat.com/articles/269333
https://access.redhat.com/errata/RHSA-2013:0211
プラグインの詳細
深刻度: Medium
ID: 78948
ファイル名: redhat-RHSA-2013-0211.nasl
バージョン: 1.14
タイプ: local
エージェント: unix
公開日: 2014/11/8
更新日: 2021/1/14
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 4.2
CVSS v2
リスクファクター: Medium
基本値: 4
現状値: 3
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:rhevm, p-cpe:/a:redhat:enterprise_linux:rhevm-backend, p-cpe:/a:redhat:enterprise_linux:rhevm-config, p-cpe:/a:redhat:enterprise_linux:rhevm-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhevm-genericapi, p-cpe:/a:redhat:enterprise_linux:rhevm-notification-service, p-cpe:/a:redhat:enterprise_linux:rhevm-restapi, p-cpe:/a:redhat:enterprise_linux:rhevm-setup, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-allinone, p-cpe:/a:redhat:enterprise_linux:rhevm-tools-common, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2013/2/4
脆弱性公開日: 2013/3/12
参照情報
CVE: CVE-2012-6115, CVE-2013-0168
RHSA: 2013:0211