検出

RHEL 6:Red Hat Gluster Storage 3.2.0 (RHSA-2017:0484)

high Nessus プラグイン ID 97928

Language:

概要

リモートの Red Hat ホストにセキュリティ更新プログラムが適用されていません。

説明

リモート Redhat Enterprise Linux 6 ホストに、RHSA-2017:0484 アドバイザリに記載されている脆弱性の影響を受けるパッケージがインストールされています。

 Red Hat Gluster Storage ソフトウェアは、柔軟で手頃な価格の構造化されていないデータストレージを実現する、唯一のスケールアウトストレージソリューションです。これは、データストレージとインフラストラクチャを一元化し、パフォーマンスを向上させ、可用性と管理性を改善して、エンタープライズレベルのストレージの課題に対処します。

 glusterfs(3.8.4)、redhat-storage-server(3.2.0.3)のパッケージが新しいアップストリームバージョンにアップグレードされました。 (BZ#1362373)

 セキュリティ修正プログラム:

* glusterfs-server RPM パッケージは、予測可能な名前のファイルを全ユーザーに読み取り可能な /tmp ディレクトリに書き込むことがわかりました。ローカルの攻撃者はこの欠陥を利用して、glusterfs-server パッケージのインストール中にシェルスクリプトを変更することによって、root へ権限を昇格させる可能性があります。
 (CVE-2015-1795)

 この問題は、Florian Weimer 氏 (Red Hat 製品セキュリティ) によって発見されました。

 バグ修正プログラム:

 * サーバークォーラムが満たされていない、またはサーバークォーラムが無効の場合、ブリックは停止したままとなります。これは、ブリックが保守中に間違って開始されないようにするためです。(BZ#1340995)

 * メタデータキャッシュトランスレーターが更新され、小さなファイルを読むときに Red Hat Gluster Storage のパフォーマンスが向上しました。(BZ#1427783)

 * レプリカ数が増加し、レプリカのブリックが使用できない場合、「gluster volume add-brick」コマンドは許可されなくなりました。(BZ#1404989)

 * スプリットブレイン (Split-brain) 解決コマンドは、クライアント側のヒールまたはセルフヒールデーモン (self-heal daemon) が有効かどうかに関係なく機能します。(BZ#1403840)

 拡張機能:

 * Red Hat Gluster Storage は、Samba と NFS-Ganesha の Transport Layer Security をサポートしています。
 (BZ#1340608、BZ#1371475)

 * 新しい reset-sync-time オプションを使用すると、必要に応じて同期時間属性をゼロにリセットすることができます。
 (BZ#1205162)

 * 階層の降格は、ハイウォーターマーク侵害イベントの後で最大 5 秒後にトリガーされるようになりました。管理者は、cluster.tier-query-limit ボリュームパラメーターを使用して、降格時にヒートデータベースから抽出されるレコード数を指定できます。(BZ#1361759)

 * /var/log/glusterfs/etc-glusterfs-glusterd.vol.log ファイルの名前は /var/log/glusterfs/glusterd.log になりました。
 (BZ#1306120)

 * 「gluster volume attach-tier/detach-tier」コマンドは廃止予定とみなされており、新しいコマンド「gluster volume tier VOLNAME attach/detach」が使用されます。(BZ#1388464)

 * ganesha-ha.conf ファイルの HA_VOL_SERVER パラメーターは、Red Hat Gluster Storage では使用されなくなりました。
 (BZ#1348954)

 * サーバーが使用できない場合、volfile サーバーの役割を別のサーバーに渡せるようになりました。(BZ#1351949)

 * ポートは、別のサービスで使用を停止すると再利用できるようになりました。(BZ#1263090)

 * リバランス処理のスレッドプールの制限は動的になり、使用可能なコアの数に基づいて決定されます。(BZ#1352805)

 * 再起動時のブリック検証では、ブリックパスの代わりに UUID が使用されるようになりました。(BZ#1336267)

 * スレーブユーザーの最大長として、__POSIX_LOGIN_NAME_MAX の代わりに LOGIN_NAME_MAX が使用されています。NULL バイトを含めて最大 256 文字まで使用できます。(BZ#1400365)

 * クライアント識別子がログメッセージに含まれるようになり、接続に失敗したクライアントを簡単に特定できるようになりました。(BZ#1333885)

Tenable は、前述の記述ブロックを Red Hat Enterprise Linux セキュリティアドバイザリから直接抽出しています。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?b5a22bf1

http://www.nessus.org/u?f05653c3

https://access.redhat.com/errata/RHSA-2017:0484

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1200927

https://bugzilla.redhat.com/show_bug.cgi?id=1362373

https://bugzilla.redhat.com/show_bug.cgi?id=1375059

https://bugzilla.redhat.com/show_bug.cgi?id=1382319

https://bugzilla.redhat.com/show_bug.cgi?id=1403587

https://bugzilla.redhat.com/show_bug.cgi?id=1403919

https://bugzilla.redhat.com/show_bug.cgi?id=1404551

https://bugzilla.redhat.com/show_bug.cgi?id=1424944

https://bugzilla.redhat.com/show_bug.cgi?id=1425748

https://bugzilla.redhat.com/show_bug.cgi?id=1432972

プラグインの詳細

深刻度: High

ID: 97928

ファイル名: redhat-RHSA-2017-0484.nasl

バージョン: 3.14

タイプ: local

エージェント: unix

公開日: 2017/3/24

更新日: 2025/4/15

サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2015-1795

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:python-gluster, p-cpe:/a:redhat:enterprise_linux:glusterfs-cli, p-cpe:/a:redhat:enterprise_linux:glusterfs-ganesha, p-cpe:/a:redhat:enterprise_linux:glusterfs-libs, p-cpe:/a:redhat:enterprise_linux:glusterfs-api-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-fuse, p-cpe:/a:redhat:enterprise_linux:glusterfs-rdma, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:redhat-storage-server, p-cpe:/a:redhat:enterprise_linux:glusterfs-api, p-cpe:/a:redhat:enterprise_linux:glusterfs, p-cpe:/a:redhat:enterprise_linux:glusterfs-geo-replication, p-cpe:/a:redhat:enterprise_linux:glusterfs-server, p-cpe:/a:redhat:enterprise_linux:glusterfs-events, p-cpe:/a:redhat:enterprise_linux:glusterfs-client-xlators

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/3/23

脆弱性公開日: 2017/6/27

参照情報

CVE: CVE-2015-1795

CWE: 377

RHSA: 2017:0484