概要
リモート Red Hat ホストにセキュリティ更新がありません。
説明
3 つのセキュリティ問題と様々なバグを修正する更新済みの rhev-hypervisor6 パッケージが、現在利用可能です。
Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
rhev-hypervisor6 パッケージは、Red Hat Enterprise Virtualization Hypervisor ISO ディスクイメージを提供します。Red Hat Enterprise Virtualization Hypervisor は、専用のカーネルベース仮想マシン(KVM)ハイパーバイザーです。仮想マシンの実行および管理に必要な全ての機能が含まれています:Red Hat Enterprise Linux 操作環境と Red Hat Enterprise Virtualization Agent のサブセット。
注:Red Hat Enterprise Virtualization ハイパーバイザーが使用できるのは、仮想化拡張対応の Intel 64 および AMD64 のアーキテクチャだけです。
アップグレードに関する注意:3.2 Manager 管理ポータルで Red Hat Enterprise Virtualization ハイパーバイザーをアップグレードすると、ホストが「インストール失敗」のステータスで表示される可能性があります。この場合、ホストをメンテナンスモードに設定し、再度ホストを有効にしてステータスを「Up」に戻してください。
CBC-モード暗号化パッケージを使用して TLS/SSL および DTLS プロトコル暗号化レコードを復号する時に、NSS がタイミング情報を漏洩することがわかりました。リモートの攻撃者がこの欠陥を利用して、TLS/SSL または DTLS サーバーをパディングオラクルとして使用することで、暗号化パケットから平文を取得する可能性があります。(CVE-2013-1620)
RHSA-2013:0907 からリリースされた CVE-2013-0167 の修正が不完全であることが判明しました。特権ゲストユーザーがこの欠陥を悪用して、ゲストが実行しているホストを管理サーバーで利用不可にする可能性があります。(CVE-2013-4236)
NSS が特定の証明書をデコードする方法に、境界外メモリ読み取りの欠陥が見つかりました。NSS を使用するアプリケーションが不正な形式の証明書をデコードすると、アプリケーションがクラッシュする可能性があります。(CVE-2013-0791)
Red Hat は、Mozilla プロジェクトが CVE-2013-0791 を報告してくれたことに感謝の意を表します。Upstream は、Ambroz Bizjak 氏を CVE-2013-0791 の最初の報告者として認識しています。CVE-2013-4236 の問題は、Red Hat の David Gibson 氏により見つかりました。
この更新済みパッケージは、多数のセキュリティ問題の修正を含む更新済みコンポーネントを提供します。しかし、これらの問題による Red Hat Enterprise Virtualization Hypervisor 自体のセキュリティへの影響はありません。この更新に含まれているセキュリティ修正は、以下の CVE 番号に対処します:
CVE-2013-4854(bind の問題)
CVE-2012-6544、CVE-2013-2146、CVE-2013-2206、CVE-2013-2224、CVE-2013-2232 および CVE-2013-2237(カーネルの問題)
この更新では、次のエラータからの修正も行われています:
* vdsm:RHSA-2013:1155 と RHBA-2013:1158
Red Hat Enterprise Virtualization Hypervisor のユーザーはこの更新済みパッケージへアップグレードし、この問題を修正することが推奨します。
ソリューション
影響を受ける rhev-hypervisor6 パッケージを更新してください。
プラグインの詳細
ファイル名: redhat-RHSA-2013-1181.nasl
エージェント: unix
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:rhev-hypervisor6, cpe:/o:redhat:enterprise_linux:6
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available