検出

RHEL 7:Gluster Storage(RHSA-2017:0486)

high Nessus プラグイン ID 97929

Language:

概要

リモートのRed Hatホストに1つ以上のセキュリティ更新プログラムがありません。

説明

Red Hat Gluster Storage 3.2の更新プログラムが、Red Hat Enterprise Linux 7で利用可能になりました。Red Hat製品セキュリティは、この更新がセキュリティに及ぼす影響を重要度中として評価しています。詳細な重要度評価を示すCVSS(共通脆弱性評価システム)ベーススコアは、「参照」セクションのCVEリンクから脆弱性ごとに入手できます。Red Hat Gluster Storageソフトウェアは、柔軟で手頃な価格の構造化されていないデータストレージを実現する、唯一のスケールアウトストレージソリューションです。これは、データストレージとインフラストラクチャを一元化し、パフォーマンスを向上させ、可用性と管理性を改善して、エンタープライズレベルのストレージの課題に対処します。glusterfs(3.8.4)、redhat-storage-server(3.2.0.2)、vdsm(4.17.33)のパッケージが新しいアップストリームバージョンにアップグレードされました。(BZ# 1362376)セキュリティ修正プログラム:* glusterfs-server RPMパッケージは、予測可能な名前のファイルを全ユーザーに読み取り可能な/tmpディレクトリに書き込むことがわかりました。ローカルの攻撃者はこの欠陥を利用して、glusterfs-serverパッケージのインストール中にシェルスクリプトを変更することによって、rootへ権限を昇格させる可能性があります。(CVE-2015-1795)この問題は、Florian Weimer氏(Red Hat製品セキュリティ)によって発見されました。バグ修正プログラム:* サーバークォーラムが満たされていない、またはサーバークォーラムが無効の場合、ブリックは停止したままとなります。これは、ブリックが保守中に間違って開始されないようにするためです。(BZ#1340995)* メタデータキャッシュトランスレーターが更新され、小さなファイルを読むときにRed Hat Gluster Storageのパフォーマンスが向上しました。(BZ#1427783)* レプリカ数が増加し、レプリカのブリックが使用できない場合、「gluster volume add-brick」コマンドは許可されなくなりました。(BZ#1404989)* スプリットブレイン(Split-brain)解決コマンドは、クライアント側のヒールまたはセルフヒールデーモン(self-heal daemon)が有効かどうかに関係なく機能します。(BZ#1403840)拡張機能:* Red Hat Gluster Storageは、SambaとNFS-GaneshaのTransport Layer Securityをサポートしています。(BZ#1340608、BZ#1371475)* 新しいreset-sync-timeオプションを使用すると、必要に応じて同期時間属性をゼロにリセットすることができます。(BZ#1205162)* 階層の降格は、ハイウォーターマーク侵害イベントの後で最大5秒後にトリガーされるようになりました。管理者は、cluster.tier-query-limitボリュームパラメーターを使用して、降格時にヒートデータベースから抽出されるレコード数を指定できます。(BZ#1361759)* /var/log/glusterfs/etc-glusterfs-glusterd.vol.logファイルの名前は/var/log/glusterfs/glusterd.logになりました。(BZ#1306120)* 「gluster volume attach-tier/detach-tier」コマンドは廃止予定とみなされており、新しいコマンド「gluster volume tier VOLNAME attach/detach」が使用されます。(BZ#1388464)* ganesha-ha.confファイルのHA_VOL_SERVERパラメーターは、Red Hat Gluster Storageでは使用されなくなりました。(BZ#1348954)* サーバーが使用できない場合、volfileサーバーの役割を別のサーバーに渡せるようになりました。(BZ#1351949)* ポートは、別のサービスで使用を停止すると再利用できるようになりました。(BZ#1263090)* リバランス処理のスレッドプールの制限は動的になり、使用可能なコアの数に基づいて決定されます。(BZ#1352805)* 再起動時のブリック検証では、ブリックパスの代わりにUUIDが使用されるようになりました。(BZ#1336267)* スレーブユーザーの最大長として、__POSIX_LOGIN_NAME_MAXの代わりにLOGIN_NAME_MAXが使用されています。NULLバイトを含めて最大256文字まで使用できます。(BZ#1400365)* クライアント識別子がログメッセージに含まれるようになり、接続に失敗したクライアントを簡単に特定できるようになりました。(BZ#1333885)

ソリューション

影響を受けるパッケージを更新してください。

参考資料

http://www.nessus.org/u?3a106d44

https://access.redhat.com/errata/RHSA-2017:0486

https://access.redhat.com/security/cve/cve-2015-1795

プラグインの詳細

深刻度: High

ID: 97929

ファイル名: redhat-RHSA-2017-0486.nasl

バージョン: 3.13

タイプ: local

エージェント: unix

公開日: 2017/3/24

更新日: 2019/10/24

サポートされているセンサー: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

リスク情報

VPR

リスクファクター: Medium

スコア: 5.9

CVSS v2

リスクファクター: High

基本値: 7.2

現状値: 5.3

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

リスクファクター: High

基本値: 7.8

現状値: 6.8

ベクトル: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C

脆弱性情報

CPE: p-cpe:/a:redhat:enterprise_linux:glusterfs, p-cpe:/a:redhat:enterprise_linux:glusterfs-api, p-cpe:/a:redhat:enterprise_linux:glusterfs-api-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-cli, p-cpe:/a:redhat:enterprise_linux:glusterfs-client-xlators, p-cpe:/a:redhat:enterprise_linux:glusterfs-debuginfo, p-cpe:/a:redhat:enterprise_linux:glusterfs-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-events, p-cpe:/a:redhat:enterprise_linux:glusterfs-fuse, p-cpe:/a:redhat:enterprise_linux:glusterfs-ganesha, p-cpe:/a:redhat:enterprise_linux:glusterfs-geo-replication, p-cpe:/a:redhat:enterprise_linux:glusterfs-libs, p-cpe:/a:redhat:enterprise_linux:glusterfs-rdma, p-cpe:/a:redhat:enterprise_linux:glusterfs-server, p-cpe:/a:redhat:enterprise_linux:python-gluster, p-cpe:/a:redhat:enterprise_linux:redhat-storage-server, p-cpe:/a:redhat:enterprise_linux:vdsm, p-cpe:/a:redhat:enterprise_linux:vdsm-cli, p-cpe:/a:redhat:enterprise_linux:vdsm-debug-plugin, p-cpe:/a:redhat:enterprise_linux:vdsm-gluster, p-cpe:/a:redhat:enterprise_linux:vdsm-hook-ethtool-options, p-cpe:/a:redhat:enterprise_linux:vdsm-hook-faqemu, p-cpe:/a:redhat:enterprise_linux:vdsm-hook-openstacknet, p-cpe:/a:redhat:enterprise_linux:vdsm-hook-qemucmdline, p-cpe:/a:redhat:enterprise_linux:vdsm-infra, p-cpe:/a:redhat:enterprise_linux:vdsm-jsonrpc, p-cpe:/a:redhat:enterprise_linux:vdsm-python, p-cpe:/a:redhat:enterprise_linux:vdsm-tests, p-cpe:/a:redhat:enterprise_linux:vdsm-xmlrpc, p-cpe:/a:redhat:enterprise_linux:vdsm-yajsonrpc, cpe:/o:redhat:enterprise_linux:7

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

エクスプロイトの容易さ: No known exploits are available

パッチ公開日: 2017/3/23

脆弱性公開日: 2017/6/27

参照情報

CVE: CVE-2015-1795

RHSA: 2017:0486