RHEL 6/7:Satellite サーバー(RHSA-2015:2622)
medium Nessus プラグイン ID 87452
Language:
概要
リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。説明
1 つのセキュリティ問題を修正し、1 つの拡張機能を追加し、いくつかのバグを修正する更新済みの Satellite 6.1 パッケージが、Satellite 6.1.5 で現在利用可能です。Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。
Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの構成や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや構成管理も行います。
このリリースでは、次のセキュリティ問題に対処します:
Satellite は、レポートに対する表示および破壊動作に対する権限を、適切に強制できませんでした。このため、表示および/または破壊レポート権限を持つ認証されたユーザーが、Foreman に保持されているあらゆるレポートを閲覧および/または削除することができる可能性があります。(CVE-2015-5233)
また、この更新は以下の拡張機能も追加します:
* Satellite 6 は、PXE-Less Discovery 機能によって強化されました。
この機能は、特定のホストグループに対するマシンのプロビジョニングを実行するための、単一の ISO の使用をサポートします。ユーザーはネットワーク情報を提供することができ、このため Satellite 上で事前にホストを作成する必要がなく、DHCP を使用する必要もありません。(BZ#1258061)
この更新は以下のバグも修正します:
* インストーラーは「\」文字を適切に処理せず、プロキシを使用するインストールの失敗を引き起こしました。現在、この文字は適切に処理され、インストール機能を改善します。(BZ#1180637)
* インストーラーから提供されたヘルプテキストに存在した入力ミスは、現在は修正されています。(BZ#1209139)
* ハンマーコンテナのリストコマンドは、コンテナ ID を提供しませんでした。
現在、このデータは提供されています。(BZ#1230915)
* コードに未処理の例外がある場合、UI のリポジトリ同期タスクは正常に完了されたものとして報告されていました。現在、これらの例外は適切に処理され、適切なステータスが報告されるようになりました。(BZ#1246054)
* インストーラーは、dhcpd.conf を削除しないように指示されている場合でも、dhcpd.conf を削除する可能性があります。これにより、ユーザーの構成を削除する可能性があります。インストーラーは更新され、リクエストがない限りこのファイルを管理しないようになりました。
(BZ#1247397)
* テンプレート用の履歴 diff ページは、1 ページのみ必要な場合に、2 ページ開いていました。重複ページが開かなくなりました。(BZ#1254909)
* プロビジョニング中、ホストグループに root パスワード用の空の文字列がある場合、デフォルトの root パスワードは使用されませんでした。UI は空の値を設定できないため、root 以外のパスワード、または空の root パスワードをデフォルトとして使用するために、コードが更新されました。(BZ#1255021)
* 発見されたホストに対して複数選択が動作しませんでした。現在、この機能は動作しています。(BZ#1258521)
* Mac アドレスの競合がある場合、発見されたホストは、ステータスを「Built(構築済み)」に変更しません。この事例を処理するために、コードが更新されました。
(BZ#1258578)
* 「dependent hosts(依存ホスト)」エラーにより、ライフサイクル環境の削除が失敗する可能性があります。これは、環境とホストの間の不適切なマッピングが原因でした。このマッピングは修正され、環境を削除することができます。(BZ#1269441)
* パッケージのインストールに、パフォーマンスの問題がありました。この動作の速度は改善されました(BZ#1276443、BZ#1269509、BZ#1277269)
* 同期タスクは、ランダムにタイムアウトの実行を停止していたようです。
qpid コードのロッキングは改善され、これらのタスクの動作停止を回避するようになりました(BZ#1279502)
* この変更により、CloudForms 4.0 のユーザーは、Satellite を介して Red Hat Insights のリクエストのプロキシを行うことができます。現在、Satellite は CloudForms 4.0 を使用する事例および Satellite のみを使用する事例の両方に対して、プロキシとして機能することができます。
(BZ#1276676)
Red Hat Satellite のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正し、この拡張機能を追加することが推奨されます。
ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?63b2259d
https://access.redhat.com/errata/RHSA-2015:2622
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1180637
https://bugzilla.redhat.com/show_bug.cgi?id=1209139
https://bugzilla.redhat.com/show_bug.cgi?id=1209929
https://bugzilla.redhat.com/show_bug.cgi?id=1230915
https://bugzilla.redhat.com/show_bug.cgi?id=1246054
https://bugzilla.redhat.com/show_bug.cgi?id=1254909
https://bugzilla.redhat.com/show_bug.cgi?id=1255021
https://bugzilla.redhat.com/show_bug.cgi?id=1258061
https://bugzilla.redhat.com/show_bug.cgi?id=1258521
https://bugzilla.redhat.com/show_bug.cgi?id=1258578
https://bugzilla.redhat.com/show_bug.cgi?id=1262443
https://bugzilla.redhat.com/show_bug.cgi?id=1263741
https://bugzilla.redhat.com/show_bug.cgi?id=1269509
https://bugzilla.redhat.com/show_bug.cgi?id=1276443
https://bugzilla.redhat.com/show_bug.cgi?id=1276676
プラグインの詳細
深刻度: Medium
ID: 87452
ファイル名: redhat-RHSA-2015-2622.nasl
バージョン: 2.12
タイプ: local
エージェント: unix
公開日: 2015/12/17
更新日: 2024/4/27
サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 2.5
CVSS v2
リスクファクター: Medium
基本値: 6
現状値: 4.4
ベクトル: CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P
CVSS スコアのソース: CVE-2015-5233
CVSS v3
リスクファクター: Medium
基本値: 4.2
現状値: 3.7
ベクトル: CVSS:3.0/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:foreman, p-cpe:/a:redhat:enterprise_linux:foreman-compute, p-cpe:/a:redhat:enterprise_linux:foreman-debug, p-cpe:/a:redhat:enterprise_linux:foreman-discovery-image, p-cpe:/a:redhat:enterprise_linux:foreman-gce, p-cpe:/a:redhat:enterprise_linux:foreman-libvirt, p-cpe:/a:redhat:enterprise_linux:foreman-ovirt, p-cpe:/a:redhat:enterprise_linux:foreman-postgresql, p-cpe:/a:redhat:enterprise_linux:foreman-proxy, p-cpe:/a:redhat:enterprise_linux:foreman-vmware, p-cpe:/a:redhat:enterprise_linux:gofer, p-cpe:/a:redhat:enterprise_linux:katello-agent, p-cpe:/a:redhat:enterprise_linux:katello-installer, p-cpe:/a:redhat:enterprise_linux:katello-installer-base, p-cpe:/a:redhat:enterprise_linux:libqpid-dispatch, p-cpe:/a:redhat:enterprise_linux:python-gofer, p-cpe:/a:redhat:enterprise_linux:python-gofer-proton, p-cpe:/a:redhat:enterprise_linux:python-gofer-qpid, p-cpe:/a:redhat:enterprise_linux:python-nectar, p-cpe:/a:redhat:enterprise_linux:python-qpid, p-cpe:/a:redhat:enterprise_linux:python-qpid-proton, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-router, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-tools, p-cpe:/a:redhat:enterprise_linux:qpid-proton, p-cpe:/a:redhat:enterprise_linux:qpid-proton-c, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-foreman-redhat_access, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-foreman_bootdisk, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-foreman_discovery, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-katello, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-redhat_access_lib, p-cpe:/a:redhat:enterprise_linux:rubygem-hammer_cli_foreman_docker, p-cpe:/a:redhat:enterprise_linux:rubygem-hammer_cli_foreman_docker-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-newt, p-cpe:/a:redhat:enterprise_linux:rubygem-smart_proxy_discovery, p-cpe:/a:redhat:enterprise_linux:rubygem-smart_proxy_discovery_image, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:capsule-installer
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2015/12/15
脆弱性公開日: 2016/4/11
参照情報
CVE: CVE-2015-5233