CentOS 7: pcs (CESA-2015:2290)
medium Nessus プラグイン ID 87148
Language:
概要
リモートの CentOS ホストにセキュリティ更新がありません。説明
1 つのセキュリティ問題といくつかのバグを修正し、さまざまな強化を追加する更新済み pcs パッケージが、Red Hat Enterprise Linux 7 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示す Common Vulnerability Scoring System(CVSS)ベーススコアは「参照」セクションの CVE リンクで入手できます。
pcs パッケージは、Corosync および Pacemaker 用の構成ツールを提供します。これにより、ユーザーは Pacemaker ベースのクラスターを簡単に閲覧、修正および作成できるようになります。pcs パッケージには、Ruby および Ruby フレームワークをサポートする Web サーバー間の最小限のインターフェイスを提供する Rack が含まれます。
Rack が受信リクエストのパラメーターを処理する方法で欠陥が見つかりました。攻撃者がこの欠陥を利用して、Rack を使用するアプリケーションをクラッシュさせる可能性のある細工されたリクエストを送信するおそれがあります。(CVE-2015-3225)
Red Hat は、これを報告してくれた Ruby Upstream の開発者に感謝の意を表します。Upstream は、NCC グループの Tomek Rabczak 氏を第一報告者として承認します。
pcs パッケージが Upstream バージョン 0.9.143 にアップグレードされ、以前のバージョンに対する多数のバグ修正と強化が行われています。(BZ#1198265)
以下の拡張機能の詳細は Red Hat Enterprise Linux 7.2 リリースノートで説明されています。「参照」セクションでリンクが提供されています:
* pcs リソース移動および pcs リソース禁止コマンドは、コマンドの動作を明確にするための警告メッセージを表示するようになりました(BZ#1201452)
* Pacemaker リソースをその優先ノードに移動するための新しいコマンド(BZ#1122818)
この更新は以下のバグも修正します:
* この更新の前、グループからリソースを削除する際、バグが原因となり、リソースグループに関連するロケーション、命令、およびコロケーションの制約が削除されていました。現在はこのバグが修正され、制約はグループにリソースがなくなり、削除されるまで維持されるようになりました。(BZ#1158537)
* 以前は、ユーザーがリソースのクローンやマルチステートリソースを無効化し、のちにプリミティブなリソースを有効化すると、クローンまたはマルチステートリソースが無効のままでした。この更新により、無効化されたクローンやマルチステートリソース内でリソースを有効化すると正しく有効化されるようになりました。(BZ#1218979)
* Web UI がリソース属性のリストを表示する際、バグによりリストが最初の「=」文字で切り捨てられていました。現在は、この更新でバグが修正され、Web UI はリソース属性のリストを正しく表示するようになりました。(BZ#1243579)
* 「pcs stonith confirm」コマンドのドキュメンテーションは明確ではありませんでした。これはコマンドの誤使用を引き起こし、データ破損につながるおそれがあります。現在は、この更新でドキュメンテーションが改善され、「pcs stonith confirm」コマンドの説明がより詳細になりました。(BZ#1245264)
* 以前は、認証されていないノードがあると、新しいクラスターの作成、既存のクラスターへのノードの追加、または Web UI へのクラスターの追加が失敗し「ノードが認証されていません」というメッセージが表示されていました。この更新により、Web UI が認証に関する問題を検知すると、Web UI は必要に応じて、ノードを認証するダイアログを表示するようになりました。
(BZ#1158569)
* これまで、Web UI はプリミティブなリソースのみを表示していました。そのため、属性、制約、その他のプロパティを親のリソースおよび子のリソースに個々に設定する方法がありませんでした。現在はこの問題が修正され、リソースはツリー構造で表示されるようになったことで、すべてのリソース要素が表示され、独立して編集できるようになりました。
(BZ#1189857)
また、この更新は以下の拡張機能も追加します:
* Web UI でクラスターの状態を表示するダッシュボードが追加されました。以前は、クラスターに関する重要な情報をすべて 1 か所で閲覧することができませんでした。現在は、クラスターの状態を表示するダッシュボードが Web UI のメインページに追加されています。
(BZ#1158566)
* この更新により、pcsd デーモンは自動的にクラスター全体で pcsd 構成を同期するようになります。これにより、どのノードからも Web UI を起動することができるようになり、特定のノードがダウンしていても管理が可能になります。
(BZ#1158577)
* Web UI を使用して、クラスター上のユーザーやグループに対する権限設定ができるようになりました。これにより、ユーザーやグループは特定のクラスター上で特定の操作に対するアクセス制限を設定することができるようになります。(BZ#1158571)
pcs の全ユーザーは、この更新済みパッケージにアップグレードし、これらの問題の修正およびこれらの拡張機能の追加を行うことが推奨されます。
ソリューション
影響を受けるpcs パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 87148
ファイル名: centos_RHSA-2015-2290.nasl
バージョン: 2.8
タイプ: local
エージェント: unix
ファミリー: CentOS Local Security Checks
公開日: 2015/12/2
更新日: 2021/1/4
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
現状値: 3.7
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS スコアのソース: CVE-2015-3225
脆弱性情報
CPE: p-cpe:/a:centos:centos:pcs, cpe:/o:centos:centos:7
必要な KB アイテム: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/11/30
脆弱性公開日: 2015/7/26
参照情報
CVE: CVE-2015-3225
RHSA: 2015:2290