RHEL 6 / 7:Satellite 6.1.7(RHSA-2016:0174)

medium Nessus プラグイン ID 88746

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

1 つのセキュリティ問題を修正し、1 つの拡張機能を追加し、いくつかのバグを修正する更新済みの Satellite 6.1 パッケージが、Satellite 6.1.7 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

Red Hat Satellite はシステム管理ソリューションです。これを使用することで組織は、組織のサーバーやその他クライアントシステムにパブリックインターネットアクセスを提供することなく、システムの構成や維持を行うことができるようになります。また、このソリューションは、事前に定義された標準のオペレーティング環境のプロビジョニングや構成管理も行います。

蓄積型クロスサイトスクリプティング(XSS)の欠陥がスマートクラスのパラメータ変数フィールドで見つかりました。特別に細工されたリクエストを Satellite に送信することにより、認証されたリモートの攻撃者が、保存データに HTML コンテンツを埋め込み、そのデータを表示するのに使用される Web ページに悪意のあるコンテンツを注入する可能性があります。(CVE-2015-7518)

この更新は以下のバグも修正します:

* 開発者サブスクリプション用の新規サブスクリプションルールにより、Satellite へのマニフェストインポートが失敗しました。サブスクリプションエンジンが更新されて、これらの新規サブスクリプションルールが正しく処理されるようになりました。(BZ#1301812)

* コンテンツ同期の重負荷により、タスクがあたかも停止していないかのようになりました。多様な量の負荷があるメッセージを処理するために、コンテンツエンジンが更新されました。(BZ#1300811))

* /var/lib/pulp/ ディレクトリに中の削除済みディレクトリにより、コンテンツ同期中に「シンボリックリンク消失」に関係するエラーが発生しました。コードが更新され、ディレクトリの削除に気づいて、必要に応じてそれらを再作成するようになりました。(BZ#1288855、BZ#1276911)

* ネットワーキング API がインターフェイスの識別子を含まない JSON 出力を戻しました。このデータはスクリプティングに重要であるため、API 応答に追加されました。(BZ#1282539)

* Red Hat Enterprise Virtualization(RHEV)に対してプロビジョンする際には、オペレーティングシステムの情報は渡されないためプロビジョニングが失敗しました。RHEV へのインターフェイスが更新されて、このバグが解決しました。
(BZ#1279631)

* 増分アップデートをコマンドラインから開始すると、「ID not found(IDが見つかりません)」エラーで失敗しました。コマンドラインインターフェイスにパッチが当てられ正しい ID が与えられるために、このバグが修正されました。(BZ#1259057)

* Satellite は、コンテンツを発行する際に多数の inode を使用します。
内部ファイル処理が改善されて、必要なシンボリックリンクおよび inode の数が削減されました。(BZ#1244130)

* 複数の NIC がある VMware でのプロビジョニングで、ラベルを正しく処理していませんでした。VMware へのインターフェイスが改善されて、この状況を正しく処理するようになりました。(BZ#1197156)

* 以前は、Capsule での同期タスク失敗は、正しく報告されず、Web UI で成功と表示されていました。エラー処理ロジックが改善されて、タスクの真の状態が表示されるようになりました。(BZ#1215838)

* Satellite は、同じエポック、名前、バージョン、リリースおよびアーキテクチャ(ENVRA)があるが、異なるチェックサムで署名されている重複パッケージを同期しました。これは、クライアントがリポジトリからインストールしようとする問題を引き起こしました。このコードが更新されてプライマリメタデータに準拠し、単一パッケージだけをダウンロードするようになりました。(BZ#1132659)

Red Hat Satellite のユーザーは、バックポートされたパッチが含まれるこれらの更新済みパッケージへアップグレードし、これらの問題を修正し、この拡張機能を追加することが推奨されます。

ソリューション

影響を受けるパッケージを更新してください。

関連情報

https://access.redhat.com/errata/RHSA-2016:0174

https://access.redhat.com/security/cve/cve-2015-7518

プラグインの詳細

深刻度: Medium

ID: 88746

ファイル名: redhat-RHSA-2016-0174.nasl

バージョン: 2.7

タイプ: local

エージェント: unix

公開日: 2016/2/16

更新日: 2019/10/24

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

リスク情報

VPR

リスクファクター: Low

スコア: 3

CVSS v2

リスクファクター: Medium

Base Score: 4.3

ベクトル: AV:N/AC:M/Au:N/C:N/I:P/A:N

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat6, p-cpe:/a:redhat:enterprise_linux:foreman, p-cpe:/a:redhat:enterprise_linux:foreman-compute, p-cpe:/a:redhat:enterprise_linux:foreman-debug, p-cpe:/a:redhat:enterprise_linux:foreman-gce, p-cpe:/a:redhat:enterprise_linux:foreman-libvirt, p-cpe:/a:redhat:enterprise_linux:foreman-ovirt, p-cpe:/a:redhat:enterprise_linux:foreman-postgresql, p-cpe:/a:redhat:enterprise_linux:foreman-vmware, p-cpe:/a:redhat:enterprise_linux:katello-installer, p-cpe:/a:redhat:enterprise_linux:katello-installer-base, p-cpe:/a:redhat:enterprise_linux:pulp-admin-client, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-child, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-common, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-parent, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-admin-extensions, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-plugins, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-tools, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-admin-extensions, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-handlers, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-plugins, p-cpe:/a:redhat:enterprise_linux:pulp-selinux, p-cpe:/a:redhat:enterprise_linux:pulp-server, p-cpe:/a:redhat:enterprise_linux:python-kombu, p-cpe:/a:redhat:enterprise_linux:python-pulp-agent-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-bindings, p-cpe:/a:redhat:enterprise_linux:python-pulp-client-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-puppet-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-rpm-common, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-fog, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-katello, p-cpe:/a:redhat:enterprise_linux:rubygem-hammer_cli_katello, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

パッチ公開日: 2016/2/15

脆弱性公開日: 2015/12/17

参照情報

CVE: CVE-2015-7518

RHSA: 2016:0174