RHEL 7:ansible(RHSA-2017:0515)
high Nessus プラグイン ID 97792
Language:
概要
リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。説明
ansibleとceph-ansibleの更新プログラムが、Red Hat Storage Console 2で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度高として評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。ceph-ansibleパッケージは、Red Hat Ceph Storageのインストール、メンテナンス、およびアップグレードのためのAnsible Playbookを提供します。Ansibleは、単純なモデル駆動の構成管理、マルチノード展開、およびリモートタスク実行システムです。AnsibleはSSH上で動作し、ソフトウェアやデーモンがリモートノードにインストールされている必要がありません。拡張モジュールは任意の言語で書くことができ、管理対象マシンに自動的に転送できます。ceph-installer(1.2.2)、ansible(2.2.1.0)、python-passlib(1.6.5)、ceph-ansible(2.1.9)のパッケージが新しいアップストリームバージョンにアップグレードされました。(BZ#1405630)セキュリティ修正プログラム:* クライアントシステムから送信されたデータをAnsibleが処理する過程に、入力検証の脆弱性が見つかりました。Ansibleで管理されたクライアントシステムを制御し、Ansibleサーバーにファクトを返すことのできる攻撃者が、この欠陥を悪用し、Ansibleサーバー権限を使用してAnsibleサーバーで任意のコードを実行する可能性があります。(CVE-2016-9587)バグ修正プログラム:* 以前は、ceph-ansibleユーティリティがスワップパーティションを永続的に無効にしました。この更新プログラムにより、ceph-ansibleはスワップを無効にできなくなりました。(BZ#1364167)* 以前は、ceph-ansibleユーティリティは暗号化されたOSDノードの追加をサポートしていませんでした。その結果、暗号化されたOSDノードで、新しいバージョン、マイナーバージョン、またはメジャーバージョンにアップグレードしようと試みても失敗していました。さらに、Ansibleはディスクアクティベーションタスク中に、次のエラーメッセージを返していました。mount:不明なファイルシステムタイプ「crypto_LUKS」。この更新プログラムにより、ceph-ansibleは暗号化されたOSDノードを追加し、期待どおりにアップグレードされるようサポートします。(BZ#1366808)* 基礎となるソースコードにバグがあるため、ceph-ansibleユーティリティが、copy roundepタスクで失敗することがありました。その結果、インストールプロセスが失敗していました。このバグは修正され、現在はインストールが期待どおりに進行します。(BZ#1382878)* 以前は、空の変数により、ceph-osdロールの「ジャーナルデバイスのGPTヘッダーまたはラベルのパーティション修正」タスクで、ceph-ansibleユーティリティを使用したインストールが失敗していました。基礎となるソースコードが変更されており、この状況でインストールは失敗しなくなりました。(BZ#1400967)* 以前は、ceph-ansibleユーティリティによって実行されたRed Hat Console Agentのセットアップは、CDN(Content Delivery Network)を使用したインストールのみをサポートしていました。ISOファイルまたはローカルのYumリポジトリを使用したインストールでは失敗していました。この更新プログラムにより、すべてのインストールが成功します。(BZ#1403576)* 以前は、ceph-ansibleユーティリティは暗号化されたOSDデバイスでクラスタをパージすることができませんでした。基礎となるceph-diskユーティリティが「--zap-disk」オプションを使用して、暗号化されたデバイスのパーティションテーブルを破棄することができなかったためです。基礎となるソースコードが修正され、暗号化されたデバイスでceph-diskが「--zap-disk」オプションを使用できるようになりました。その結果、ceph-ansibleは暗号化されたOSDデバイスを使用して期待どおりにクラスタをパージすることができます。(BZ#1414647)* 以前は、IPv6アドレッシングを使用するノードを持つCephクラスタの作成中に、ceph-ansibleがCeph設定ファイルに「ms bind ipv6」キーを追加しましたが、値が割り当てられませんでした。この動作が原因で、クラスタ作成後に設定ファイルを解析すると、エラーが発生していました。この更新プログラムにより、「ms bind ipv6」キーがCeph設定ファイルに適切に設定されたため、IPv6アドレッシングを使用するクラスタ上で適切に設定ファイルの解析が可能です。(BZ#1419814)拡張機能:* ceph-ansibleユーティリティがクライアントロールをサポートするようになりました。この新しいロールにより、Ansibleを使用してCephクライアントをインストールし、ノードを展開してCephクラスタに対してテストを実行することができます。(BZ#1384622)* ceph-installer APIは、同じデバイス上にジャーナルを配置したOSDノードのインストールをサポートするようになりました。(BZ#1412867)ソリューション
影響を受けるパッケージを更新してください。参考資料
http://www.nessus.org/u?753eacbe
プラグインの詳細
深刻度: High
ID: 97792
ファイル名: redhat-RHSA-2017-0515.nasl
バージョン: 3.9
タイプ: local
エージェント: unix
公開日: 2017/3/17
更新日: 2019/10/24
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 6.7
CVSS v2
リスクファクター: High
基本値: 9.3
現状値: 7.3
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:C/I:C/A:C
CVSS v3
リスクファクター: High
基本値: 8.1
現状値: 7.3
ベクトル: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:P/RL:O/RC:C
脆弱性情報
CPE: p-cpe:/a:redhat:enterprise_linux:ansible, p-cpe:/a:redhat:enterprise_linux:ceph-ansible, p-cpe:/a:redhat:enterprise_linux:ceph-installer, p-cpe:/a:redhat:enterprise_linux:python-passlib, cpe:/o:redhat:enterprise_linux:7
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
エクスプロイトが利用可能: true
エクスプロイトの容易さ: Exploits are available
パッチ公開日: 2017/3/14
脆弱性公開日: 2018/4/24
参照情報
CVE: CVE-2016-9587
RHSA: 2017:0515