検出

Scientific Linux セキュリティ更新:SL7.x x86_64 上の pacemaker

high Nessus プラグイン ID 87568

Language:

概要

リモート Scientific Linux ホストに 1 つ以上のセキュリティ更新がありません。

説明

クラスターリソースマネージャである pacemaker が、特定の状況で追加されたノードを評価する方法で欠陥が見つかりました。読み取り専用アクセスを持つユーザーが、他の既存のロールを自身に割り当て、次に他のユーザーにも権限を追加する可能性があります。(CVE-2015-1867)

pacemaker パッケージが Upstream バージョン 1.1.13 にアップグレードされ、以前のバージョンに対する多くのバグ修正と拡張機能が提供されます。

この更新は以下のバグも修正します:

- Pacemaker クラスターに Apache リソースが含まれており、Apache の mod_systemd モジュールが有効な場合、systemd は Apache によって送信された通知を拒否しました。その結果、システムログ内に次の形式でエラーが多数発生しました:

PID XXXX からの通知メッセージを受け取りましたが、PID YYYY に対する受け入れしか許可されていません

この更新により、上述の状況で lrmd デーモンは「NOTIFY_SOCKET」変数をオフにし、これらのエラーがログに記録されることはありません。

- 以前は、リモートゲストノードを Pacemaker クラスター内のグループリソースの一部として指定すると、ノードが機能を停止しました。この更新は Pacemaker グループリソース内のリモートゲストに対するサポートを追加し、上述の問題が発生することはありません。

- Pacemaker クラスター内のリソースが開始に失敗すると、Pacemaker はリソースの最後に失敗した時刻を更新し、「on-fail=ignore」オプションが使用されていても、その失敗カウントを増加しました。これにより、リソース開始の失敗が発生すると、意図しないリソース移行を引き起こすことがありました。現在Pacemaker は、「on-fail=ignore」の使用中は失敗カウントを更新しなくなりました。その結果、失敗はクラスターステータス出力に表示されますが、適切に無視されるようになり、リソース移行を引き起こすことはありません。

- 以前は、Pacemaker は pcmk_host_map 文字列を解析する際、セミコロン(;)を区切り文字としてサポートしましたが、pcmk_host_list 文字列を解析する場合はサポートしませんでした。
 継続的なユーザーエクスペリエンスを保証するために、 pcmk_host_list を解析する際もセミコロンが区切り文字としてサポートされるようになりました。

また、この更新は以下の拡張機能も追加します:

- Pacemaker のロケーション制約に「resource-discovery=never」オプションがある場合、Pacemaker は、指定されたサービスが指定されたノードで実行されているかを調べようとしなくなりました。さらに、所定のリソースに対する複数のロケーション制約によって「resource-discovery=exclusive」が指定される場合、Pacemaker は、これらの制約で指定されたノードでのみ、リソースディスカバリを試行します。このため、操作の試行がエラーまたはその他の望ましくない動作につながるノード上で、Pacemaker はリソースディスカバリをスキップすることができます。

- 複数のノードが同時にクラスターリソースにアクセスし、データ破損を引き起こすことを防ぐために、冗長電源供給に対するフェンシングの構成手順が簡素化されました。詳細については、High Availability Add-On Reference(高可用性アドオン参照)マニュアルの『Fencing:Configuring STONITH』の章を参照してください。

- 「crm_mon」および「pcs_status」コマンドの出力がより明確で簡潔なように変更され、多数のリモートノードおよびクローンされたリソースがある Pacemaker クラスターのステータスを報告する際、読み取りがより簡単になっています。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?5cc5618c

プラグインの詳細

深刻度: High

ID: 87568

ファイル名: sl_20151119_pacemaker_on_SL7_x.nasl

バージョン: 2.5

タイプ: local

エージェント: unix

公開日: 2015/12/22

更新日: 2021/1/14

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.5

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

脆弱性情報

CPE: p-cpe:/a:fermilab:scientific_linux:pacemaker, p-cpe:/a:fermilab:scientific_linux:pacemaker-cli, p-cpe:/a:fermilab:scientific_linux:pacemaker-cluster-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-cts, p-cpe:/a:fermilab:scientific_linux:pacemaker-debuginfo, p-cpe:/a:fermilab:scientific_linux:pacemaker-doc, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs-devel, p-cpe:/a:fermilab:scientific_linux:pacemaker-nagios-plugins-metadata, p-cpe:/a:fermilab:scientific_linux:pacemaker-remote, x-cpe:/o:fermilab:scientific_linux

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2015/11/19

脆弱性公開日: 2015/8/12

参照情報

CVE: CVE-2015-1867