RHEL 7：Red Hat Ceph Storage 1.3.1（RHSA-2015:2066）

medium Nessus プラグイン ID 87043

Language:

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティ問題と複数のバグを修正し、様々な拡張機能を追加する Red Hat Ceph Storage 1.3.1 が、Red Hat Enterprise Linux 7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System（CVSS）ベーススコアは「参照」セクションの CVE リンクで入手できます。

Red Hat Ceph Storage は、スケーラブルかつオープンなソフトウェア定義型ストレージプラットフォームです。Ceph ストレージシステムの最も安定したバージョンに、Ceph 管理プラットフォーム、展開ツール、およびサポートサービスを搭載しています。

Ceph Object Gateway（RGW）の機能により、アクセスされたバケットの名前を含む特定の HTTP ヘッダーを返すことが可能になります。返された HTTP ヘッダーがサニタイズされていないことが見つかりました。認証されていない攻撃者がこの欠陥を利用し、RGW の前に存在するロードバランサを混乱させるよう応答内の HTTP ヘッダーを細工し、サービス拒否を引き起こす可能性があります。(CVE-2015-5245)

ceph パッケージが　upstream バージョン 0.94.3 にアップグレードされ、radosgw-agent パッケージは upstream バージョン 1.2.3 にアップグレードされました。新バージョンでは、以前のバージョンに対して多数のバグ修正や拡張機能を提供しています。（BZ#1238415）

この更新は以下のバグも修正します：

* この更新では、Ceph モニターノードおよび Ceph Object Storage Device（OSD）デーモンのさまざまなバグを修正します。（BZ#1219040、BZ#1223941、BZ#1265973）

* この更新により、Civetweb サーバを使用している場合、Ceph Object Gateway は今後、ダウンロードが中止している場合でも、ダウンロードされたフルオブジェクトサイズを報告しなくなります。（BZ#1235845）

* Civetweb サーバーは現在、ログファイルで HTTP リターンコードを正しく表示します。（BZ#1245663）

* Ceph Object Gateway は現在、コピー操作中に生成された新しいオブジェクトに対しアクセスコントロールリスト（ACL）を正しく割り当てます。（BZ#1253766）

* 特定の状況において、オブジェクトをそれ自身の上にコピーする場合（例えばメタデータを変更する場合など）、切り捨てられたオブジェクトを生成します。切り捨てられたオブジェクトは、オリジナルサイズを含む適切なメタデータを含んでいましたが、下層の RADOS オブジェクトのほうが小規模でした。その結果、クライアントがオブジェクトをフェッチしようとする場合、Content-Length ヘッダーで示されたものよりも少ないデータを受信しました。これは、ブロックされ、最終的にタイムアウトとなりました。このバグは修正されており、オブジェクトは現在上述のシナリオで適切に読み取られています。（BZ#1258618）

* Ceph Object Gateway は現在では、root ユーザーに対する sudoers 構成において無効化するための「requiretty」設定を要求しません。
（BZ#1238521）

* 特定のシナリオにおいて、backfill 処理中に配置グループ（PG）用のアクティブなセットの Ceph Object Storage Device （OSD）デーモンがすべて再起動された場合、CSD は PG をピアすることに失敗します。現在、OSD は PG を期待通りにピアします。（BZ#1223532）

また、この更新は以下の拡張機能も追加します：

* Ceph Object Gateway の管理者は現在、Ceph 構成ファイルにおいて新しい「rgw_user_max_buckets」オプションを使用することで、バケットの最大数をユーザー用に構成することが可能です。
（BZ#1254343）

* suicide タイムアウトオプションが現在設定可能です。このオプションは、動作が良くない OSD がデグレードした状態で実行したりトラフィックを遅延させる代わりに、それ自体により終了するようにします。（BZ#1210825）

* rhcs-installer パッケージは、新しい Foreman ベースのインストーラを提供します。
この更新では、新しい rhcs-installer パッケージをテクノロジープレビューとして Red Hat Ceph Storage に追加します。（BZ#1213026、BZ#1213086、BZ#1220961）

Red Hat テクノロジープレビューの詳細情報はこちらで入手できます：
https://access.redhat.com/support/offerings/techpreview/

Red Hat Ceph Storage の全ユーザーは、この新しいバージョンにアップグレードし、これらの問題を修正し、これらの拡張機能を追加することが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2015:2066

https://access.redhat.com/security/cve/cve-2015-5245

プラグインの詳細

深刻度: Medium

ID: 87043

ファイル名: redhat-RHSA-2015-2066.nasl

バージョン: 1.11

タイプ: local

エージェント: unix

ファミリー: Red Hat Local Security Checks

公開日: 2015/11/24

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 2.7

CVSS v2

リスクファクター: Medium

基本値: 4.3

現状値: 3.2

ベクトル: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ancestry, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-apipie-rails, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-audited, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-audited-activerecord, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-bundler_ext, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-deep_cloneable, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-fast_gettext, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-foreigner, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-foreman_bootdisk, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-friendly_id, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-gettext_i18n_rails, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-gettext_i18n_rails_js, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-i18n_data, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ldap_fluff, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-multi_json, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-net-ldap, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-oauth, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-native, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-safemode, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-scoped_search, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-secure_headers, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-sexp_processor, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-sprockets, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-uuidtools, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-validates_lengths_from_database, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-will_paginate, p-cpe:/a:redhat:enterprise_linux:rubygem-ansi, p-cpe:/a:redhat:enterprise_linux:rubygem-apipie-bindings, p-cpe:/a:redhat:enterprise_linux:rubygem-awesome_print, p-cpe:/a:redhat:enterprise_linux:rubygem-bundler_ext, p-cpe:/a:redhat:enterprise_linux:rubygem-clamp, p-cpe:/a:redhat:enterprise_linux:rubygem-ffi, p-cpe:/a:redhat:enterprise_linux:rubygem-ffi-debuginfo, p-cpe:/a:redhat:enterprise_linux:rubygem-gssapi, p-cpe:/a:redhat:enterprise_linux:rubygem-hashie, p-cpe:/a:redhat:enterprise_linux:babeltrace, p-cpe:/a:redhat:enterprise_linux:babeltrace-debuginfo, p-cpe:/a:redhat:enterprise_linux:ceph-common, p-cpe:/a:redhat:enterprise_linux:ceph-debuginfo, p-cpe:/a:redhat:enterprise_linux:ceph-deploy, p-cpe:/a:redhat:enterprise_linux:ceph-puppet-modules, p-cpe:/a:redhat:enterprise_linux:ceph-radosgw, p-cpe:/a:redhat:enterprise_linux:facter, p-cpe:/a:redhat:enterprise_linux:facter-debuginfo, p-cpe:/a:redhat:enterprise_linux:foreman, p-cpe:/a:redhat:enterprise_linux:foreman-debug, p-cpe:/a:redhat:enterprise_linux:foreman-installer, p-cpe:/a:redhat:enterprise_linux:foreman-postgresql, p-cpe:/a:redhat:enterprise_linux:foreman-proxy, p-cpe:/a:redhat:enterprise_linux:foreman-selinux, p-cpe:/a:redhat:enterprise_linux:foreman-sqlite, p-cpe:/a:redhat:enterprise_linux:hiera, p-cpe:/a:redhat:enterprise_linux:ipxe-bootimgs, p-cpe:/a:redhat:enterprise_linux:ipxe-roms, p-cpe:/a:redhat:enterprise_linux:ipxe-roms-qemu, p-cpe:/a:redhat:enterprise_linux:libbabeltrace, p-cpe:/a:redhat:enterprise_linux:librados2, p-cpe:/a:redhat:enterprise_linux:librados2-devel, p-cpe:/a:redhat:enterprise_linux:librbd1, p-cpe:/a:redhat:enterprise_linux:librbd1-devel, p-cpe:/a:redhat:enterprise_linux:lttng-tools, p-cpe:/a:redhat:enterprise_linux:lttng-tools-debuginfo, p-cpe:/a:redhat:enterprise_linux:lttng-ust, p-cpe:/a:redhat:enterprise_linux:lttng-ust-debuginfo, p-cpe:/a:redhat:enterprise_linux:mod_passenger, p-cpe:/a:redhat:enterprise_linux:puppet, p-cpe:/a:redhat:enterprise_linux:puppet-server, p-cpe:/a:redhat:enterprise_linux:python-rados, p-cpe:/a:redhat:enterprise_linux:python-rbd, p-cpe:/a:redhat:enterprise_linux:radosgw-agent, p-cpe:/a:redhat:enterprise_linux:rhcs-installer, p-cpe:/a:redhat:enterprise_linux:ruby-augeas, p-cpe:/a:redhat:enterprise_linux:ruby-augeas-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby-rgen, p-cpe:/a:redhat:enterprise_linux:ruby-shadow, p-cpe:/a:redhat:enterprise_linux:ruby-shadow-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-facter, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-wrapper, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-native-libs, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-pg, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-pg-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-po_to_json, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rabl, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rest-client, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ruby2ruby, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ruby_parser, p-cpe:/a:redhat:enterprise_linux:rubygem-kafo, p-cpe:/a:redhat:enterprise_linux:rubygem-kafo_parsers, p-cpe:/a:redhat:enterprise_linux:rubygem-little-plugger, p-cpe:/a:redhat:enterprise_linux:rubygem-logging, p-cpe:/a:redhat:enterprise_linux:rubygem-mime-types, p-cpe:/a:redhat:enterprise_linux:rubygem-multi_json, p-cpe:/a:redhat:enterprise_linux:rubygem-oauth, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger-debuginfo, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger-native, p-cpe:/a:redhat:enterprise_linux:rubygem-passenger-native-libs, p-cpe:/a:redhat:enterprise_linux:rubygem-powerbar, p-cpe:/a:redhat:enterprise_linux:rubygem-rack, p-cpe:/a:redhat:enterprise_linux:rubygem-rack-protection, p-cpe:/a:redhat:enterprise_linux:rubygem-rake, p-cpe:/a:redhat:enterprise_linux:rubygem-rest-client, p-cpe:/a:redhat:enterprise_linux:rubygem-rkerberos, p-cpe:/a:redhat:enterprise_linux:rubygem-rkerberos-debuginfo, p-cpe:/a:redhat:enterprise_linux:rubygem-rubyipmi, p-cpe:/a:redhat:enterprise_linux:rubygem-sinatra, p-cpe:/a:redhat:enterprise_linux:rubygem-smart_proxy_discovery, p-cpe:/a:redhat:enterprise_linux:rubygem-highline, p-cpe:/a:redhat:enterprise_linux:rubygem-tilt, p-cpe:/a:redhat:enterprise_linux:userspace-rcu, p-cpe:/a:redhat:enterprise_linux:userspace-rcu-debuginfo, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2015/11/23

脆弱性公開日: 2015/12/3

参照情報

CVE: CVE-2015-5245

RHSA: 2015:2066