検出

RHEL 7:virt-who(RHSA-2015:0430)

low Nessus プラグイン ID 81636

Language:

概要

リモート Red Hat ホストにセキュリティ更新がありません。

説明

1 つのセキュリティの課題といくつかのバグを修正し、さまざまな拡張機能を追加する更新済みの virt-who パッケージが、 Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。

virt-who パッケージは、システムの中に存在する仮想ゲストに関する情報を収集し、それらをサブスクリプションマネージャに報告するエージェントを提供します。

ハイパーバイザー認証情報を含むこともある /etc/sysconfig/virt-who 構成ファイルが誰でも読み取り可能になっていることが発見されました。ローカルのユーザーが、この欠陥を悪用して、このファイルから認証情報を入手する可能性があります。(CVE-2014-0189)

Red Hat は、この問題を報告してくれた Sal Castiglione 氏に感謝の意を表します。

virt-who パッケージが、Upstream バージョン 0.11 にアップグレードされています。これにより、以前のバージョンに対する多数のバグ修正と拡張機能が提供されます。主要なバグ修正および拡張機能には、次のようなものがあります:

* リモート libvirt のサポート。* 暗号化パスワード使用の修正。* virt-who の安定性を高めるバグ修正および拡張機能。
(BZ#1122489)

この更新は以下のバグも修正します:

この更新が出る前は、virt-who エージェントは、VDSM デーモンが提供する仮想ゲストのリストを読み込めませんでした。結果として、VDSM モードの場合、virt-who エージェントが、仮想ゲストに関する更新を Subscription Asset Manager (SAM)および Red Hat Satellite に送信できませんでした。この更新により、VDSM モードの場合、エージェントはゲストのリストを適切に読み取り、SAM および Satellite に予期していた通りに報告するようになっています。
(BZ#1153405)

* 以前は、virt-who は、Red Hat Satellite 5 に接続するとき不適切な情報を使用していました。結果として、virt-who は、Red Hat Satellite 5 サーバーに接続できませんでした。現在は、適切でないパラメーターが修正され、virt-who が Red Hat Satellite 5 に接続できるようになっています。
(BZ#1158859)

* この更新が出る前には、virt-who はパスワードの 16 進表現を復号前にデコードしていませんでした。結果として、復号されたパスワードは元のパスワードと一致せず、そのパスワードを使用して接続しようとすると失敗していました。現在では、virt-who が更新され、暗号化パスワードをデコードするようになり、結果として virt-who が予期していた通りに暗号化パスワードを使用して保存認証情報を処理するようになっています。
(BZ#1161607)

また、この更新は以下の拡張機能も追加します:

* この更新により、virt-who はリモートの libvirt ハイパーバイザーからゲストのリストを読み取ることができるようになっています。(BZ#1127965)

virt-who のユーザーは、この更新済みパッケージへアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。

ソリューション

影響を受ける virt-who パッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2015:0430

https://access.redhat.com/security/cve/cve-2014-0189

プラグインの詳細

深刻度: Low

ID: 81636

ファイル名: redhat-RHSA-2015-0430.nasl

バージョン: 1.9

タイプ: local

エージェント: unix

公開日: 2015/3/5

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 4.7

CVSS v2

リスクファクター: Low

基本値: 2.1

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:virt-who, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2015/3/5

脆弱性公開日: 2014/5/2

参照情報

CVE: CVE-2014-0189

RHSA: 2015:0430