RHEL 6:Storage Server(RHSA-2016:0329)

high Nessus プラグイン ID 89073

概要

リモート Red Hat ホストに 1 つ以上のセキュリティ更新がありません。

説明

2 つのセキュリティ問題を修正する更新済みの openstack-swift パッケージが、Red Hat Enterprise Linux 6 の Red Hat Gluster Storage 3.1 Update 2 で現在利用可能です。

Red Hat 製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度の評価を提供する Common Vulnerability Scoring System (CVSS)のベーススコアが、「参照」セクションの CVE リンクの各脆弱性に対して利用可能です。

OpenStack Object Storag(swift)は、仮想コンテナのオブジェクト保存サービスを提供します。これにより、ユーザーはファイル(任意のデータ)の保存および取得を行うことが可能です。このサービスの分配型アーキテクチャは、横スケーリングをサポートします。ソフトウェアベースのデータレプリケーションを通じて、フールプルーフとしての冗長性が提供されます。Object Storage は非同期の結果整合性レプリケーションをサポートしているため、複数のデータセンター展開に適しています。

プロキシのサーバーへの接続時に、OpenStack Object Storage(swift)にメモリリークの問題が見つかりました。OpenStack が認証した攻撃者がこの欠陥をリモートで発生させ、過剰なメモリ消費を通じたサービス拒否を引き起こす可能性があります。(CVE-2016-0738)

クライアントのプロキシへの接続時に、OpenStack Object Storage(swift)にメモリリークの問題が見つかりました。OpenStack が認証した攻撃者がこの欠陥をリモートで発生させ、過剰なメモリ消費を通じたサービス拒否を引き起こす可能性があります。(CVE-2016-0737)

Red Hat は、これらの問題を報告してくれた OpenStack プロジェクトに感謝の意を表します。Upstream は、OVH の Le Disez 氏および Kiliaro の Orjan Persson 氏を最初の報告者として認めます。

openstack-swift の全ユーザーは、これらの更新済みパッケージへアップグレードし、これらの問題を修正することが推奨されます。この更新のインストール後、OpenStack Object Storage サービスは自動的に再起動します。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

https://access.redhat.com/errata/RHSA-2016:0329

https://access.redhat.com/security/cve/cve-2015-5223

https://access.redhat.com/security/cve/cve-2016-0737

https://access.redhat.com/security/cve/cve-2016-0738

プラグインの詳細

深刻度: High

ID: 89073

ファイル名: redhat-RHSA-2016-0329.nasl

バージョン: 2.13

タイプ: local

エージェント: unix

公開日: 2016/3/2

更新日: 2019/10/24

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

リスク情報

VPR

リスクファクター: Low

スコア: 3.6

CVSS v2

リスクファクター: Medium

基本値: 5

現状値: 3.7

ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

CVSS v3

リスクファクター: High

基本値: 7.5

現状値: 6.5

ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:openstack-swift, p-cpe:/a:redhat:enterprise_linux:openstack-swift-account, p-cpe:/a:redhat:enterprise_linux:openstack-swift-container, p-cpe:/a:redhat:enterprise_linux:openstack-swift-doc, p-cpe:/a:redhat:enterprise_linux:openstack-swift-object, p-cpe:/a:redhat:enterprise_linux:openstack-swift-proxy, cpe:/o:redhat:enterprise_linux:6

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2016/3/1

脆弱性公開日: 2015/10/26

参照情報

CVE: CVE-2015-5223, CVE-2016-0737, CVE-2016-0738

RHSA: 2016:0329