openSUSE セキュリティ更新:openstack-dashboard(openSUSE-SU-2015:0078-1)
medium Nessus プラグイン ID 80842
Language:
概要
リモート openSUSE ホストに、セキュリティ更新がありません。説明
バグやセキュリティ問題を修正するために、OpenStack Dashboard が更新されました。完全な変更:
- バージョン horizon-2013.2.5.dev2.g9ee7273 に更新してください:
- Horizon ログインページ DOS 攻撃を修正(bnc#908199、CVE-2014-8124)
- バージョン 2013.2.5 へ更新
- グローバル要件から更新しました
- Pin docutils を 0.9.1 へ
- tox.ini で python ハッシュシードを 0 に設定
- それぞれの可用性ゾーンにチェックホストがない
- unordered_list フィルターによる XSS 問題を修正(bnc#891815、CVE-2014-3594)
+ 0001-Use-default_project_id-for-v3-users.patch(手動)
- UserManager をテストで None に置換
- テスト要件を更新して、sphinx の build_doc を修正
- 複数のクロスサイトスクリプティング(XSS)の脆弱性を修正(bnc#885588、CVE-2014-3473、CVE-2014-3474、CVE-2014-3475)
- ログインフォームのインポートに関する問題を修正
バグ 869696 - Horizon Dashboard が壊れた場合の管理者パスワードの注入。
- バージョン horizon-2013.2.4.dev8.g07c097f に更新してください:
- neutron の API のバグ修正で、正しいターゲット ID を返す
- Rebuild Instance での画像の表示を修正
- Neutron からインスタンスのネットワーキング情報を取得
- stable/havana の次のバージョンである 2013.2.4 へ更新
- 関係切断アクションで FIP をリリースしない
- Horizon/Orchestration 2013.2.3 でエスケープを導入(bnc#871855、CVE-2014-0157)
- バージョン horizon-2013.2.3.dev8.g3d04c3c に更新してください:
- novaclient 呼び出し回数の低減
- flavors 更新時に flavorid をコピーしない
- 一時停止中および中断中のインスタンスのスナップショットを許可する
- テストを修正し、keystoneclient 0.6.0 で動作するようにする
- stable/havana の次のバージョンである 2013.2.3 へ更新
+ 上流の URL をソースとして使用(検証を有効にする)
+ Havana 2013.2.2 更新の翻訳をインポート
- バージョン 2013.2.2.dev29.g96bd650 に更新してください:
+ havana の Transifex リソース名を更新
+ 負荷分散された Horizon での不適切なログアウトを修正
- バージョン 2013.2.2.dev25.g6508afd に更新してください:
+ cinder が無効な場合、ボリューム作成を無効にする
+ 不良なワークフローステップのチェック:has_required_fields
+ LBaaS/VPNaaS リソース取得時に、tenant_id を指定する
- バージョン 2013.2.2.dev19.g7a8eadc に更新してください:
+ HealthMonitor に適切な表示名を与える
- バージョン 2013.2.2.dev17.gaa55b24 に更新してください:
+ 一般的な keystone バージョンのフォールバック
- settings.py(デフォルト設定)をブランディング上流サブパッケージに移動:ブランディングパッケージは、一部のデフォルト設定を変更する必要があるかもしれません。
- 0001-Common-keystone-version-fallback.patch、0001-Use-default_project_id-for-v3-users.patch を追加
- バージョン 2013.2.2.dev15.g2b6dfa7 に更新してください:
+ 「Create An image」ウィンドウのヘルプテキストを修正
+ scrollShift の計算方法を変更
+ keypair 名の処理を統合
- 0001-Give-no-background-color-to-the-pie-charts.patch を追加:
円グラフに背景色を与えない。
- バージョン 2013.2.2.dev9.gc6d38a1 に更新してください:
+ 間違ったマーカーが keystone へ送信されていました
- バージョン 2013.2.2.dev7.g2e11482 に更新してください:
+ management_url を追加して、mock クライアントをテスト
- 0001-Bad-workflow-steps-check-has_required_fields.patch を追加
- python-horizon が 2013.2 バージョンの python-horizon-branding を必要とするようにします(また、2013.2.xyz バージョンではありません)。これにより、非上流ブランディングの作成が簡単になります。他のブランディングサブパッケージでは、既に行っています。
- バージョン 2013.2.2.dev6.g2c1f1f3 に更新してください:
+ BlockDeviceMappingV2 nova 拡張のチェックを追加
+ email 属性がないユーザーを慎重に処理
+ oslo から install_venv をインポート
+ stable/havana の次のバージョンである 2013.2.2 へ更新
- バージョン 2013.2.1.dev41.g9668e80 に更新してください:
+ グローバル要件から更新しました
- すべてを /srv/www/openstack-dashboard に配置
- バージョン 2013.2.1.dev40.g852e5c8 に更新してください:
+ Havana 2013.2.1 更新の翻訳をインポート
+ リソース使用率ページから統計テーブルを削除
+ スピナーの「Working」を変換可能にします
+ lbaas/horizon - lb 作成時に tcp プロトコルの選択を追加
+ LBaaS の一部のオプションのフィールドが必須になっているバグを修正
+ エスケープされた html がボリュームの取り外しダイアログに表示されないバグを修正
+ ドメイングループダイアログで、ロール名を変換するべきではありません
+ 「Update members」ウィジェットの不完全な変換を修正
+ 「Injected File Path Bytes」の変換可能な文字列を修正
+ 追加の拡張ファイルを、makemessage コマンドラインに追加
+ BatchAction メッセージにコンテキストマーカーを追加
+ 自分でパスワードを変更した後、ユーザーをログアウトします
+ iso8601 モジュールのロギング構成を追加
+ すべての計算メーターがドロップダウンに一覧されていることを確認します
+ 表示する前に、Nova からの文字列をエスケープして、バグを修正(bnc#852175、CVE-2013-6858)
- 汎用 openstack-branding プロバイダーを追加/使用
- バージョン 2013.2.1.dev9.g842ba5f に更新してください:
+ セキュリティグループのテンプレートで MS SQL のデフォルトポートを修正
+ 欠けていたインスタンス:<type> メーターのホバーヒントを提供
+ テキスト:「subnet」/「subnet details」を変換
+ 「Tenant」を「Project」へ変更
+ データ測定の精度の放棄を回避
- 上流と同様に Django の signed_cookies セッションのバックエンドを使用し、cache_db の使用率をドロップ
- 上流で学習したように、SECRET_KEY を設定する必要はありません
python-django_openstack_auth が 1.1.3 に更新されました:
- さまざまな i18n の修正
- ログアウトまたはテナントの変更の際に、トークンを取り消します
- テストをローカルで実行するため、テストパッケージをメインとマージします
- HTML ドキュメンテーションを適切に構築し、インストールします
- pt_BR ロケールを追加
- (構築)要件を更新しました
- django_openstack_auth-hacking-requires.patch を追加:
ハッキングの深さは無意味です
- テスト実行者を含めます
- -test サブパッケージを追加
ソリューション
影響を受ける openstack-dashboard パッケージを更新します。参考資料
https://bugzilla.opensuse.org/show_bug.cgi?id=852175
https://bugzilla.opensuse.org/show_bug.cgi?id=869696
https://bugzilla.opensuse.org/show_bug.cgi?id=871855
https://bugzilla.opensuse.org/show_bug.cgi?id=885588
https://bugzilla.opensuse.org/show_bug.cgi?id=891815
https://bugzilla.opensuse.org/show_bug.cgi?id=908199
https://lists.opensuse.org/opensuse-updates/2015-01/msg00040.html
プラグインの詳細
深刻度: Medium
ID: 80842
ファイル名: openSUSE-2015-39.nasl
バージョン: 1.4
タイプ: local
エージェント: unix
ファミリー: SuSE Local Security Checks
公開日: 2015/1/20
更新日: 2021/1/19
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.8
CVSS v2
リスクファクター: Medium
基本値: 4.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
脆弱性情報
CPE: p-cpe:/a:novell:opensuse:openstack-dashboard, p-cpe:/a:novell:opensuse:openstack-dashboard-branding-upstream, p-cpe:/a:novell:opensuse:openstack-dashboard-test, p-cpe:/a:novell:opensuse:python-django_openstack_auth, p-cpe:/a:novell:opensuse:python-horizon, p-cpe:/a:novell:opensuse:python-horizon-branding-upstream, cpe:/o:novell:opensuse:13.1
必要な KB アイテム: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
パッチ公開日: 2015/1/10
参照情報
CVE: CVE-2013-6858, CVE-2014-0157, CVE-2014-3473, CVE-2014-3474, CVE-2014-3475, CVE-2014-3594, CVE-2014-8124