検出

RHEL 6:Storage Server(RHSA-2013:1263)

medium Nessus プラグイン ID 79289

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティの問題とさまざまなバグを修正し、拡張機能を追加する更新済みの Red Hat Storage Console パッケージが、Red Hat Storage Server 2.1 で現在利用可能です。

Red Hat セキュリティレスポンスチームは、この更新のセキュリティ上の影響は中程度であると評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

Red Hat Storage Console(RHS-C)は、Red Hat Storage 2.1 環境を管理するための、強力かつシンプルな Web ベースのグラフィカルユーザーインターフェイスです。この機能は Technology Preview として提供され、現在 Red Hat Storage サブスクリプションサービスではサポートされていません。
Technology Previews に関する詳細については、次を参照してください:
https://access.redhat.com/support/offerings/techpreview/

RESTEasy が XML 外部エンティティ(XXE)攻撃に対して脆弱であることが判明しました。Red Hat Storage Console REST API にアクセスできるリモートの攻撃者が外部 XML エンティティを含むリクエストを RESTEasy エンドポイントに送信した場合、このエンティティが解決されます。これにより、攻撃者が、アプリケーションサーバーを実行するユーザーがアクセスできるファイルを読み取ることが可能です。この欠陥は、DOM(ドキュメントオブジェクトモデル)ドキュメントおよび JAXB(XML バインディング向け Java アーキテクチャ)の入力に影響を与えていました。
(CVE-2012-0818)

この更新は以下のバグも修正します:

* サーバーに必要なパッケージがインストールされていない場合、新しいサーバーをクラスターに追加することはできません。管理者がサーバーをクラスターに追加すると、必要なパッケージがない場合は、現在自動的にインストールされるようになりました。(BZ#850431)

* 以前は、rhs-log-collector ツールは GlusterFS 関連のログを収集していませんでした。(BZ#855271)

* 以前は、rhsc-setup が disabled モードの SELinux があるシステムで無事完了することは不可能でした。
(BZ#841342)

* UI 体験を改善するために、[Add Bricks] ポップアップの [Add Brick] ボタンが、現在 [Brick Directory] フィールドの横に配置されました。(BZ#863929)

* ボリュームの UUID が表示されませんでした。UUID を表示するために、[Volumes] タブの [Summary] サブタブに新しいフィールドが追加されました。
(BZ#887806)

* サーバーの再起動後、Web コンソールにアクセスできませんでした。サーバーの再起動後、Web コンソールにアクセスできるようにセットアップメカニズムを変更しました。(BZ#838284)

この更新により、次の拡張機能も追加されます:

* 以前は、既存のストレージクラスターを Red Hat Storage Console にインポートするとき、ホストが 1 つずつ追加されていました。今回、ユーザーが既存のストレージクラスターをインポートできる新しい機能が追加されました。新しい Cluster Creation ウィンドウに、既存のストレージクラスターをインポートするオプションがあります。クラスターのホストの 1 つの IP_Address またはホスト名とパスワードが入力されたら、クラスターのすべてのホストが含まれたリストが表示され、同じものを Console に追加することができます。また、クラスターの一部のボリュームもインポートされます。
(BZ#850438)

* ボリュームを有効にして CIFS を使用するためには、コマンドラインが必要でした。「Create Volume」ウィンドウの新しい「CIFS」チェックボックスで、ボリュームのエクスポートの有効と無効を切り替えることができるようになりました。(BZ#850452)

* Red Hat Storage 用の新しい Red Hat Support プラグインは、Red Hat Customer Portal から Red Hat サブスクリプションサービスへのシームレスかつ統合されたアクセスを提供する Technology Preview 機能です。このプラグインをインストールしたサブスクライバーは、次の機能にアクセスできます:

- Red Hat サポートケースを作成、管理、および更新する。- 限定の Red Hat ナレッジおよびソリューションに便利にアクセスする。- エラーコードやメッセージなどを検索し、Red Hat Customer Portal から関連するナレッジを表示する。
 (BZ#999245)

* 新しい [Event ID] 列が、[Events] タブの [Advanced View] の [Events] テーブルに追加されました。これにより、ユーザーが、[Events] タブで各イベントの ID を表示することが可能です。(BZ#889942)

* Console のフックを管理およびモニターする新しい機能が追加されました。また、この機能は、フックの変更をレポートし、一定間隔でポーリングを行うことで新しいフックスクリプトを確認します。(BZ#850483)

* ボリュームを virt ストアとして使用するために最適化する、新しい「Optimize for Virt Store」オプションが追加されました。システムは「virt」グループオプションをボリュームに設定し、また次の 2 つのボリュームオプションも設定します:

- storage.owner-uid=36 - storage.owner-gid=36

このオプションは、ボリュームの作成中だけでなく、既存のボリュームに対しても利用できます。(BZ#891493、BZ#891491)

Red Hat Storage Server 2.1 の全ユーザーは、これらの更新済みパッケージへアップグレードすることが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/support/offerings/techpreview/

https://access.redhat.com/errata/RHSA-2013:1263

https://access.redhat.com/security/cve/cve-2012-0818

プラグインの詳細

深刻度: Medium

ID: 79289

ファイル名: redhat-RHSA-2013-1263.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2014/11/17

更新日: 2021/1/14

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:otopi, p-cpe:/a:redhat:enterprise_linux:otopi-devel, p-cpe:/a:redhat:enterprise_linux:otopi-java, p-cpe:/a:redhat:enterprise_linux:otopi-repolib, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-java, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-repolib, p-cpe:/a:redhat:enterprise_linux:python-daemon, p-cpe:/a:redhat:enterprise_linux:python-kitchen, p-cpe:/a:redhat:enterprise_linux:python-lockfile, p-cpe:/a:redhat:enterprise_linux:python-ply, p-cpe:/a:redhat:enterprise_linux:redhat-access-plugin-storage, p-cpe:/a:redhat:enterprise_linux:rhsc, p-cpe:/a:redhat:enterprise_linux:rhsc-backend, p-cpe:/a:redhat:enterprise_linux:rhsc-cli, p-cpe:/a:redhat:enterprise_linux:rhsc-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhsc-log-collector, p-cpe:/a:redhat:enterprise_linux:rhsc-restapi, p-cpe:/a:redhat:enterprise_linux:rhsc-sdk, p-cpe:/a:redhat:enterprise_linux:rhsc-setup, p-cpe:/a:redhat:enterprise_linux:rhsc-tools, p-cpe:/a:redhat:enterprise_linux:rhsc-webadmin-portal, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2013/9/16

脆弱性公開日: 2012/11/23

参照情報

CVE: CVE-2012-0818

RHSA: 2013:1263