検出

RHEL 6:rhevm-reports 3.3.3(RHSA-2014:0558)

low Nessus プラグイン ID 79022

Language:

概要

リモート Red Hat ホストにセキュリティ更新がありません。

説明

3 つのセキュリティ問題と 1 つのバグを修正する更新済みの rhevm-reports パッケージが、現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新によるセキュリティ上の影響は小さいと評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Red Hat Enterprise Virtualization レポートパッケージは、事前に構成されたレポートと、システムを監視することができるダッシュボードのパッケージを提供します。このレポートモジュールは JasperReports および JasperServer に基づいており、アドホックレポートの作成に使用することもできます。

ovirt-engine-reports セットアップスクリプトが、レポートデータベースのパスワードを、平文で誰でも読み取ることができるファイルに記録することが判明しました。Red Hat Enterprise Virtualization Manager サーバーにおいてローカルユーザーのアカウントを持つ攻撃者が、この欠陥を利用して、レポートデータベースにアクセスすることや、このデータベースの読み込み、変更を行う可能性があります。(CVE-2014-0199)

注:このアドバイザリが提供する更新を適用しても、既存のログファイルは変更されません。既存のログファイルを検索し、平文パスワードの出現を手動で削除することを推奨します。

Red Hat Enterprise Virtualization Manager レポートデータソース構成ファイル(js-jboss7-ds.xml)が、誰でも読み取り可能であることが判明しました。Red Hat Enterprise Virtualization Manager サーバーにおいてローカルユーザーのアカウントを持つ攻撃者が、この欠陥を利用して、レポートデータベースにアクセスすることや、このデータベースの読み込み、変更を行う可能性があります。(CVE-2014-0200)

複数の ovirt-engine-reports 構成ファイルが誰でも読み取り可能であることが判明しました。攻撃者が、Red Hat Enterprise Virtualization Manager サーバーのローカルユーザーのアカウントを持つ場合、この欠陥を利用して、多様な機密情報にアクセスできる可能性があります。(CVE-2014-0201)

これらの問題は、Red Hat により発見されました。

この更新では以下のバグも修正されます。

* 以前は、pg_hba.conf ファイルのデフォルトのスペースが手動で変更されている場合は、rhevm-reports-setup が失敗しました。今では、このコマンドは、ファイルの正確なスペースをチェックしないため、セットアップが正常に完了します。
(BZ#1085374)

rhevm-reports の全ユーザーは、この更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。

ソリューション

影響を受ける rhevm-reports パッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2014:0558

https://access.redhat.com/security/cve/cve-2014-0200

https://access.redhat.com/security/cve/cve-2014-0199

https://access.redhat.com/security/cve/cve-2014-0201

プラグインの詳細

深刻度: Low

ID: 79022

ファイル名: redhat-RHSA-2014-0558.nasl

バージョン: 1.14

タイプ: local

エージェント: unix

公開日: 2014/11/8

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: Low

基本値: 2.1

現状値: 1.6

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:rhevm-reports, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2014/5/27

脆弱性公開日: 2014/5/29

参照情報

CVE: CVE-2014-0199, CVE-2014-0200, CVE-2014-0201

BID: 67682, 67684

RHSA: 2014:0558