RHEL 7:org.ovirt.engine-root(RHSA-2016:1967)
low Nessus プラグイン ID 93805
Language:
概要
リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。説明
org.ovirt.engine-rootの更新プログラムが、RHEV Engineバージョン4.0で利用可能になりました。Red Hat製品セキュリティは、この更新プログラムがセキュリティに及ぼす影響の重要度を中と評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Enterprise Virtualization Managerは、システム管理者が仮想マシンの閲覧および管理を行える集中管理プラットフォームです。このマネージャーは、検索機能、リソース管理、ライブ移行、仮想インフラストラクチャプロビジョニングを含む包括的な機能を提供します。このマネージャーはJBoss Application Serverアプリケーションであり、管理ポータル、ユーザーポータル、およびRepresentational State Transfer(REST)アプリケーションプログラミングインターフェイス(API)を含む、仮想環境へのアクセスおよび相互作用が可能な複数のインターフェイスを提供します。セキュリティ修正プログラム:* ovirt-engine-provisiondbユーティリティが、ログファイルに保存する前に、「--provision * db」オプションで使用される認証詳細を出力から正しくサニタイズしないことがわかりました。このため、これらのログファイルにアクセスできる攻撃者がパスワードなどの秘密情報を取得する可能性があります。(CVE-2016-5432)この問題はYedidyah Bar David氏(Red Hat)によって発見されました。バグ修正:*以前は、CPUプロファイルのアクセス権をチェックするとき、グループのアクセス権が考慮されていませんでした。グループに属していたユーザーはCPUプロファイルを割り当てることができなかったため、仮想マシンを起動できませんでした。これは、アクセス許可をチェックするときに、PermissionDaoと正しいSQL関数を使用することで修正され、グループアクセス許可が考慮されるようになりました。(BZ#1371888)*「省電力」と「メモリの均等分散」に基づく負荷分散(高または低)の2つのしきい値のうち1つのみ設定した場合、予期しない結果が生じる可能性があります。たとえば、省電力ロードバランシングでは、使用率が高いホストのメモリのしきい値に値を設定し、使用率が低いホストのメモリのしきい値を定義しないと、デフォルト値が0になります。すべてのホストが使用率の低いホストと見なされ、移行元として選択されましたが、移行先として選択されたホストはありませんでした。これは現在、使用率が低いホストのメモリのしきい値が未定義のときにLong.MAXのデフォルト値を取得するように変更されました。これで、使用率が高いホストのメモリのしきい値に値が設定され、使用率が低いホストのメモリのしきい値が定義されていない場合は、使用率が高いホストのみが移行元として選択されます。また、移行先ホストは使用率が低いホストとなります。(BZ#1354281)*この更新プログラムにより、VDSMサービスに送信されるQuality of Service(QoS)ストレージの値がVDSMおよびMemory Overcommit Manager(MoM)によって使用されるようになりました。その結果、QoSは仮想マシンにライブで適用され、MoM関連の仮想マシンの変更はすべて、仮想マシンでメモリバルーニングデバイスが有効になっている場合にのみ適用されます。(BZ#1328731)機能強化:*以前は、特に古いWindowsオペレーティングシステムを実行しているときに、不適切なバージョンのvirtioドライバーをインストールすることが可能でした。特定のドライバーとWindowsのバージョンに互換性がない場合、これが原因でゲストが突然「ブルースクリーン(Blue Screen of Death)」とも呼ばれる停止エラーで突然終了することがありました。この更新プログラムでは、対象のOSのバージョン情報がドライバーファイルに追加されているため、virtio-win CDイメージのルートを指定すると、Windowsは自動的に最適なドライバーを選択できます。インストールを試みるとWindowsがエラーメッセージを表示するため、互換性のないバージョンのドライバーを手動でインストールすることもできなくなりました。(BZ#1328181)*このリリースでは、Red Hat VirtualizationはCephFSをPOSIXストレージドメインとしてサポートするようになりました。(BZ#1095615)ソリューション
影響を受けるパッケージを更新してください。参考資料
プラグインの詳細
深刻度: Low
ID: 93805
ファイル名: redhat-RHSA-2016-1967.nasl
バージョン: 2.11
タイプ: local
エージェント: unix
公開日: 2016/9/30
更新日: 2019/10/24
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 1.4
CVSS v2
リスクファクター: Low
基本値: 2.1
現状値: 1.6
ベクトル: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N
CVSS v3
リスクファクター: Low
基本値: 3.3
現状値: 2.9
ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:ovirt-engine, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-backend, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-dbscripts, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-extensions-api-impl, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-extensions-api-impl-javadoc, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-lib, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-restapi, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-base, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-ovirt-engine, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-ovirt-engine-common, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-tools, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-tools-backup, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-userportal, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-userportal-debuginfo, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-webadmin-portal, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-webadmin-portal-debuginfo, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:rhevm, cpe:/o:redhat:enterprise_linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2016/9/28
脆弱性公開日: 2016/10/3
参照情報
CVE: CVE-2016-5432
RHSA: 2016:1967