リモート Redhat Enterprise Linux 7 ホストに、RHSA-2017:3005 アドバイザリに記載されている複数の脆弱性の影響を受けるパッケージがインストールされています。

  - supervisor: 悪質な XML-RPC リクエストによるコマンドインジェクション (CVE-2017-11610)

  - Ansible Tower: Upstream プレイブック実行による SCM リポジトリの git フックの変更 (CVE-2017-12148)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

mnaberezによる報告: 

supervisordは、TCPソケットおよび/またはUnixドメインソケットでHTTPサーバーを実行するように構成できます。HTTPサーバーは、supervisorctlとsupervisordの通信手段です。HTTPサーバーが有効になっている場合は、HTMLページとXML-RPCインターフェイスの両方が常に提供されます。認証されたクライアントがサーバー上で任意のシェルコマンドを実行する悪意のあるXML-RPCリクエストをsupervisordに送信できるという脆弱性が発見されました。コマンドは、supervisordと同じユーザーとして実行されます。supervisordの構成方法によっては、rootにすることもできます。

この脆弱性を悪用できるのは、認証されたクライアントによってか、認証なしでHTTPサーバーを実行するようにSupervisordが構成されている場合のみです。認証が有効になっていない場合は、supervisordが起動するたびにメッセージを重大レベルでログに記録します。

以下のためのセキュリティ修正 CVE-2017-11610

注意：Tenable Network Securityは、前述の記述ブロックをFedora更新システムのWebサイトから直接抽出しています。
Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

Calum Hutton氏は、プロセスの状態を制御するシステムであるSupervisorのXML-RPCサーバーが、リクエストされたXML-RPCメソッドで検証を実行しないため、認証されたクライアントが、任意のシェルコマンドを実行する、悪意のあるXML-RPCリクエストをSupervisordに送信できることを報告しました。これは、supervisordと同じユーザーとしてサーバー上で実行されます。

ネスト化された名前空間検索を完全に無効にすることで、脆弱性は修正されました。Supervisordは、XML-RPCリクエストを処理するために登録されたオブジェクトのメソッドのみを呼び出し、それに破損した既存の設定を含む可能性のある子オブジェクトは呼び出さないようになりました。ネスト化された名前空間を使用する、パブリックで利用可能なプラグインは現在知られていません。単一の名前空間を使用するプラグインは、今後もこれまでと同様に機能します。詳細については、https://github.com/Supervisor/supervisor/issues/964のアップストリームの問題を参照してください。

リモートホストは、GLSA-201709-06（Supervisor：コマンドインジェクションの脆弱性）で説明されている脆弱性に影響されています。認証されたクライアントが悪意のあるXML-RPC要求の送信を行うことができ、supervidordは、それらをプロセス特権を持つシェルコマンドとして実行する、Supervisorの脆弱性が発見されました。場合によっては、supervisordはルート権限付きで構成されます。影響：リモートの攻撃者が、プロセスの権限で任意のコードを実行する可能性があります。回避策：現時点では、既知の回避策はありません。

プロセスの状態を制御するシステムであるsupervisorで脆弱性が見つかりました。この脆弱性により、認証されたクライアントが悪意のあるXML-RPCリクエストをsupervisordに送信し、サーバー上で任意のシェルコマンドが実行される可能性があります。コマンドは、supervisordと同じユーザーとして実行されます。

Debian 7「Wheezy」では、これらの問題はバージョン3.0a8-1.1+deb7u2で修正されました。

supervisorパッケージをアップグレードすることを推奨します。

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。

ID	名前	製品	ファミリー	公開日	更新日	深刻度
194022	RHEL 7 : Red Hat CloudForms (RHSA-2017:3005)	Nessus	Red Hat Local Security Checks	2024/4/27	2025/3/21	high
102508	FreeBSD：Supervisord -- 認証されたクライアントは、悪意のあるXML-RPCリクエストを介して任意のシェルコマンドを実行できます（c9460380-81e3-11e7-93af-005056925db4）。	Nessus	FreeBSD Local Security Checks	2017/8/16	2025/11/26	high
102393	Fedora 24：supervisor（2017-713430fb15）	Nessus	Fedora Local Security Checks	2017/8/11	2025/12/2	high
102449	DebianDSA-3942-1：supervisor - セキュリティ更新	Nessus	Debian Local Security Checks	2017/8/14	2025/12/2	high
103274	GLSA-201709-06：Supervisor：コマンドインジェクションの脆弱性	Nessus	Gentoo Local Security Checks	2017/9/18	2025/11/21	high
102246	Fedora 26：supervisor（2017-307eab89e1）	Nessus	Fedora Local Security Checks	2017/8/8	2025/12/4	high
102275	Fedora 25：supervisor（2017-85eb9f7a36）	Nessus	Fedora Local Security Checks	2017/8/9	2025/12/2	high
102085	Debian DLA-1047-1: supervisorセキュリティ更新	Nessus	Debian Local Security Checks	2017/8/1	2025/12/4	high

検出

プラグインの検索

high

high

high

high

high

high

high

high